Capítulo 5.

Direccionamiento de red

5.1 Direcciones IP y máscaras de subred

5.1.1 Propósito de las direcciones IP

Para participar en Internet, un host necesita una dirección IP. La dirección IP es una
dirección de red lógica que identifica un host en particular. Para poder comunicarse con
otros dispositivos en Internet, dicha dirección debe estar adecuadamente configurada y
debe ser única.

La dirección IP es asignada a la conexión de la interfaz de red para un host. Esta

conexión generalmente es una tarjeta de interfaz de red (NIC) instalada en el dispositivo.
Algunos ejemplos de dispositivos de usuario final con interfaces de red incluyen las
estaciones de trabajo, los servidores, las impresoras de red y los teléfonos IP. Algunos
servidores pueden tener más de una NIC, y cada uno de ellas tiene su propia dirección IP.
Las interfaces de routers que proporcionan conexiones a una red IP también tendrán una
dirección IP.

Cada paquete enviado por Internet tendrá una dirección IP de origen y de destino. Los
dispositivos de red requieren esta información para asegurarse de que la información
llegue a destino y de que toda respuesta sea devuelta al origen.

93
5.1.2 Estructura de la dirección IP

Una dirección IP es simplemente una serie de 32 bits binarios (unos y ceros). Para una
persona sería muy difícil leer una dirección IP binaria. Por este motivo, los 32 bits están
agrupados en cuatro bytes de 8 bits llamados octetos. Una dirección IP en este formato
no es fácil de leer, escribir o recordar. Para hacer que las direcciones IP sean más fáciles
de entender, cada octeto se presenta como su valor decimal, separado por un punto
decimal. Esto se conoce como notación decimal punteada.

Cuando un host está configurado con una dirección IP, ésta se introduce como un número
decimal punteado, por ejemplo, 192.168.1.5. Imagine que tuviera que introducir el
equivalente binario de 32 bits de 11000000101010000000000100000101. Si se
confundiera en sólo un dígito, la dirección sería diferente y el host no podría comunicarse
con la red.

La dirección IP de 32 bits está definida con IP versión 4 (IPv4) y actualmente es la forma

más común de direcciones IP en Internet. Existen más de 4000 millones de direcciones IP
posibles si se utiliza un esquema de direcciones de 32 bi

Cuando un host recibe una dirección IP, lee los 32 bits a medida que son recibidos por la
NIC. Una persona, en cambio, debería convertir esos 32 bits en su equivalente decimal de
cuatro octetos. Cada octeto está compuesto por 8 bits, y cada bit tiene un valor. Los
cuatro grupos de 8 bits tienen el mismo conjunto de valores. En un octeto, el bit del
extremo derecho tiene un valor de 1, y los valores de los bits restantes, de derecha a
izquierda son 2, 4, 8, 16, 32, 64 y 128.

Determine el valor del octeto sumando los valores de las posiciones cada vez que haya
un 1 binario presente.
Si en esa posición hay un 0, no sume el valor.
Si los 8 bits son 0, 00000000, el valor del octeto es 0.
Si los 8 bits son 1, 11111111, el valor del octeto es 255 (128+64+32+16+8+4+2+1).
Si los 8 bits están combinados, como en el ejemplo 00100111, el valor del octeto es 39
(32+4+2+1).

94
Por lo tanto, el valor de cada uno de los cuatro octetos puede ir de 0 a un máximo de 255.

5.1.3 Partes de una dirección IP

La dirección IP lógica de 32 bits tiene una composición jerárquica y consta de dos partes.
La primera parte identifica la red, y la segunda parte identifica un host en esa red. En una
dirección IP, ambas partes son necesarias.

Por ejemplo: si un host tiene la dirección IP 192.168.18.57, los primeros tres octetos
(192.168.18) identifican la porción de red de la dirección, y el último octeto (57) identifica
el host. Esto se conoce como direccionamiento jerárquico, debido a que la porción de red
indica la red en la que cada dirección host única está ubicada. Los routers sólo necesitan
saber cómo llegar a cada red, sin tener que saber la ubicación de cada host individual.

Otro ejemplo de una red jerárquica es el sistema telefónico. Con un número telefónico, el
código de país, el código de área y el intercambio representan la dirección de red; y los
dígitos restantes representan un número telefónico local.

5.1.4 Interacción entre las direcciones IP y las máscaras de subred

Cada dirección IP consta de dos partes. ¿Cómo saben los hosts qué parte pertenece a la
red y cuál al host? Éste es el trabajo de la máscara de subred.

Cuando se configura un host IP, se asigna una máscara de subred junto con una
dirección IP. Como sucede con la dirección IP, la máscara de subred tiene una longitud de

95
32 bits. La máscara de subred identifica qué parte de la dirección IP corresponde a la red
y cuál al host.

La máscara de subred se compara con la dirección IP, de izquierda a derecha, bit por bit.
Los 1 en la máscara de subred representan la porción de red, los 0 representan la porción
de host. En el ejemplo que se muestra, los primeros tres octetos pertenecen a la red y el
último octeto representa el host.

Cuando un host envía un paquete, compara su máscara de subred con su propia

dirección IP y la dirección IP de destino. Si los bits de la red coinciden, tanto el host de
origen como el de destino se encuentran en la misma red, y el paquete puede ser enviado
localmente. Si no coinciden, el host emisor envía el paquete a la interfaz del router local
para que sea enviado a otra red.

Las máscaras de subred que vemos más frecuentemente en las redes domésticas y de
empresas pequeñas son: 255.0.0.0 (8 bits), 255.255.0.0 (16 bits) y 255.255.255.0 (24 bits).
Una máscara de subred como 255.255.255.0 (decimal) o
11111111.11111111.1111111.00000000 (binaria) utiliza 24 bits para identificar el número
de red, lo que deja 8 bits para identificar los hosts en esa red.

Para calcular la cantidad de hosts que esa red puede albergar, eleve el número 2 a la
potencia del número de bits de host (2 ^ 8 = 256). A este número debemos restarle 2 (256
- 2). El motivo por el que restamos 2 es porque todos los 1 dentro de la porción de host de
la dirección IP conforman una dirección de broadcast para esa red y no pueden ser
asignados a un host específico. Todos los 0 dentro de la porción de host indican la
identificación de la red y, nuevamente, no pueden ser asignados a un host específico. Se
pueden calcular fácilmente con la calculadora las potencias de 2 que incluyen todos los
sistemas operativos Windows.

tra forma de determinar la cantidad de hosts disponibles es sumar los valores de los bits
de host disponibles (128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255). A este número se le debe
restar 1 (255 - 1 = 254), debido a que los bits de host no pueden ser todos 1. No es
necesario restar 2, ya que el valor de todos los 0 es 0 y no se incluye en la suma.

Con una máscara de 16 bits, hay 16 bits (dos octetos) para las direcciones de host; por lo
tanto, una dirección host puede tener todos 1 (255) en uno de los octetos. Esto puede
parecer un broadcast pero, siempre y cuando el otro octeto no contenga todos 1, es una

96
dirección host válida. Recuerde que el host lee todos los bits de host juntos, no los valores
del octeto

5.2 Tipos de direcciones IP

5.2.1 Clases de direcciones IP y máscaras de subred por defecto

La dirección IP y la máscara de subred trabajan juntas para determinar qué porción de la

dirección IP representa la dirección de red y qué porción representa la dirección del host.

Las direcciones IP se agrupan en 5 clases. Las clases A, B y C son direcciones

comerciales que se asignan a hosts. La Clase D está reservada para uso de multicast, y
la Clase E es para uso experimental.

Las direcciones de Clase C tienen tres octetos para la porción de red y uno para los hosts.
La máscara de subred por defecto tiene 24 bits (255.255.255.0). Las direcciones Clase C
generalmente se asignan a redes pequeñas.

Las direcciones de Clase B tienen dos octetos para representar la porción de red y dos
para los hosts. La máscara de subred por defecto tiene 16 bits (255.255.0.0). Estas
direcciones generalmente se utilizan para redes medianas.

Las direcciones de Clase A sólo tienen un octeto para representar la porción de red y tres
para representar los hosts. La máscara de subred por defecto tiene 8 bits (255.0.0.0).
Estas direcciones generalmente se asignan a grandes organizaciones.

Se puede determinar la clase de una dirección por el valor del primer octeto. Por ejemplo:
si el primer octeto de una dirección IP tiene un valor entre 192 y 223, se clasifica como
Clase C. Por ejemplo: 200.14.193.67 es una dirección Clase C.

97
5.2.2 Direcciones IP públicas y privadas

Todos los hosts que se conectan directamente a Internet requieren una dirección IP
pública exclusiva. Debido a la cantidad finita de direcciones de 32 bits disponibles, existe
la posibilidad de que se acaben las direcciones IP. Una solución para este problema fue
reservar algunas direcciones privadas para utilizarlas exclusivamente dentro de una
organización. Esto permite que los hosts dentro de una organización se comuniquen entre
sí sin necesidad de contar con una dirección IP pública única.

RFC 1918 es un estándar que reserva varios rangos de direcciones dentro de cada una
de las clases, A, B y C. Como se muestra en la tabla, estos rangos de direcciones
privadas constan de una única red Clase A, 16 redes Clase B y 256 redes Clase C. Esto
proporciona al administrador de red una flexibilidad considerable para la asignación de
direcciones internas.

Una red muy grande puede utilizar la red privada Clase A, que permite más de 16
millones de direcciones privadas.
En las redes medianas se puede utilizar una red privada Clase B, que proporciona más de
65 000 direcciones.

Las redes domésticas y de empresas pequeñas generalmente utilizan una única dirección
privada Clase C, que permite hasta 254 hosts.

98
La red Clase A, las 16 redes Clase B o las 256 redes Clase C pueden ser utilizadas
dentro de organizaciones de cualquier tamaño. Generalmente, muchas organizaciones
utilizan la red privada Clase A.

Las direcciones privadas pueden ser utilizadas internamente por los hosts de una
organización, siempre y cuando los hosts no se conecten directamente a Internet. Por lo
tanto, múltiples organizaciones pueden utilizar el mismo conjunto de direcciones privadas.
Las direcciones privadas no se envían a Internet y son bloqueadas rápidamente por un
router de ISP.

La utilización de direcciones privadas puede servir como medida de seguridad, ya que

dichas redes sólo son visibles en la red local, y los usuarios externos pueden obtener
acceso directo a las direcciones IP privadas.

También existen direcciones privadas que pueden ser utilizadas para el análisis de
diagnóstico de los dispositivos. Este tipo de dirección privada se conoce como dirección
de loopback. La red 127.0.0.0 Clase A está reservada para las direcciones de loopback.

5.2.3 Direcciones de unicast, broadcast y multicast

Además de las clases de direcciones, las direcciones IP también se categorizan en

unicast, broadcast o multicast. Los hosts pueden utilizar las direcciones IP para
comunicaciones de uno a uno (unicast), de uno a varios (multicast) o de uno a todos
(broadcast).

Unicast

La dirección unicast es el tipo más común en una red IP. Un paquete con una dirección de
destino unicast está dirigido a un host específico. Un ejemplo es un host con la dirección
IP 192.168.1.5 (origen) que solicita una página Web a un servidor con la dirección IP
192.168.1.200 (destino).

Para que un paquete unicast sea enviado y recibido, la dirección IP de destino debe estar
incluida en el encabezado del paquete IP. En el encabezado de la trama de Ethernet
también debe estar presente la dirección MAC de destino correspondiente. Las
direcciones IP y MAC se combinan para la entrega de datos a un host de destino
específico.

99
Broadcast

Para broadcast, el paquete contiene una dirección IP de destino con todos unos (1) en la
porción de host. Esto significa que todos los hosts de esa red local (dominio de broadcast)
recibirán y verán el paquete. Muchos protocolos de red, como ARP y DHCP utilizan
broadcasts.

Una red Clase C con la dirección 192.168.1.0 con una máscara de subred por defecto de
255.255.255.0 tiene la dirección de broadcast 192.168.1.255. La porción de host es 255,
en formato decimal, o 11111111 (todos unos), en formato binario.

Una red Clase B con la dirección 172.16.0.0 y la máscara por defecto 255.255.0.0, tiene la
dirección de broadcast 172.16.255.255.

Una red Clase A con la dirección 10.0.0.0 y la máscara por defecto 255.0.0.0 tiene la
dirección de broadcast 10.255.255.255.

Una dirección IP de broadcast para una red requiere una dirección MAC de broadcast
correspondiente en la trama de Ethernet. En las redes Ethernet, la dirección MAC de
broadcast está formada por 48 unos, que se muestran como un número hexadecimal FF-
FF-FF-FF-FF-FF.

100
Multicast

Las direcciones multicast permiten a un dispositivo de origen enviar un paquete a un

grupo de dispositivos.

A los dispositivos que participan de un grupo multicast se les asigna una dirección IP de
grupo multicast. El rango de direcciones multicast va de 224.0.0.0 a 239.255.255.255.
Debido a que las direcciones multicast representan un grupo de direcciones (a menudo
denominado grupo de hosts), sólo pueden ser utilizadas como destino de un paquete. El
origen siempre será una dirección unicast.

Un ejemplo donde las direcciones multicast pueden ser útiles es en los juegos remotos,
donde muchos jugadores se conectan remotamente pero juegan al mismo juego. Otro
ejemplo puede ser la educación a distancia a través de videoconferencias, donde muchos
estudiantes se conectan a la misma clase.

Como sucede con las direcciones unicast y broadcast, las direcciones IP multicast
requieren una dirección MAC multicast correspondiente para poder entregar las tramas en
una red local. La dirección MAC multicast es un valor especial que comienza con 01-00-
5E en hexadecimal. El valor finaliza al convertir los 23 bits más bajos de la dirección IP del
grupo multicast en los 6 caracteres hexadecimales restantes de la dirección Ethernet. Un
ejemplo, como se muestra en el gráfico, es el hexadecimal 01-00-5E-0F-64-C5. Cada
carácter hexadecimal representa 4 bits binarios.

101
5.3 Cómo se obtienen las direcciones IP
5.3.1 Asignación de dirección estática y dinámica

Las direcciones IP se pueden asignar de forma estática o de forma dinámica.

Estática

Con una asignación estática, el administrador de la red debe configurar manualmente la

información de la red para un host. Como mínimo, esto incluye la dirección IP del host, la
máscara de subred y la gateway por defecto.

Las direcciones estáticas tienen algunas ventajas. Por ejemplo, son útiles para impresoras,
servidores y otros dispositivos de red que deben estar accesibles para los clientes de la
red. Si el host normalmente accede al servidor en una dirección IP particular, no es
adecuado que esta dirección cambie.

La asignación estática de la información de direccionamiento puede proporcionar un

mayor control de los recursos de red; pero introducir la información en cada host puede
ser muy lento. Cuando se introducen direcciones IP estáticamente, el host sólo realiza
análisis de errores básicos en la dirección IP; por lo tanto, es más probable que haya
errores.

Cuando se utiliza el direccionamiento IP estático, es importante mantener una lista precisa

de qué direcciones IP se asignan a qué dispositivos. Además, estas direcciones son
permanentes y generalmente no se reutilizan.

102
Dinámica

En las redes locales, es habitual que la población de usuarios cambie frecuentemente. Se

agregan nuevos usuarios con computadoras portátiles, y esos usuarios requieren una
conexión. Otros tienen nuevas estaciones de trabajo que deben conectarse. En lugar de
que el administrador de red asigne direcciones IP para cada estación de trabajo, es más
simple que las direcciones IP se asignen automáticamente. Esto se logra a través de un
protocolo denominado protocolo de configuración dinámica de host (DHCP).

El protocolo DHCP proporciona un mecanismo para la asignación automática de

información de direccionamiento, como una dirección IP, una máscara de subred, una
gateway por defecto y otra información de configuración.

El protocolo DHCP generalmente es el método preferido para la asignación de direcciones

IP a hosts en grandes redes, ya que reduce la carga del personal de soporte de la red y
prácticamente elimina los errores de introducción de datos.

Otro de los beneficios del DHCP es que las direcciones no se asignan permanentemente
a un host, sino que son arrendadas durante un período. Si el host se apaga o sale de la
red, la dirección es devuelta al pool de direcciones para ser reutilizada. Esto es
especialmente útil en el caso de los usuarios móviles que entran en una red y salen de
ella.

103
5.3.2 Servidores DHCP

Si usted se encuentra cerca de un punto de conexión inalámbrica en un aeropuerto o una

cafetería, el protocolo DHCP le permite acceder a Internet. Al entrar al área, el cliente de
DHCP de su computadora portátil se comunica con el servidor de DHCP local por medio
de una conexión inalámbrica. El servidor de DHCP asigna una dirección IP a la
computadora portátil.

Varios tipos de dispositivos pueden actuar como servidores de DHCP, siempre y cuando
ejecuten software de servicios DHCP. En la mayoría de las redes medianas a grandes, el
servidor de DHCP generalmente es un servidor local dedicado, basado en una PC.

En las redes domésticas, el servidor de DHCP generalmente está ubicado en el ISP, y un

host en la red doméstica recibe la configuración IP directamente del ISP.

Muchas redes domésticas y de empresas pequeñas utilizan un router integrado para

conectarse al módem del ISP. En este caso, el router integrado funciona como cliente de
DHCP y como servidor. El router integrado actúa como cliente para recibir su
configuración IP del ISP y luego actúa como servidor de DHCP para los hosts internos en
la red local.

Además de los servidores basados en PC y los routers integrados, otros tipos de

dispositivos de red, como los routers dedicados, pueden proporcionar servicios DHCP a
clientes, aunque esto no es muy habitual.

El protocolo de configuración dinámica de host (DHCP) es un conjunto de reglas para

asignar direcciones IP de manera dinámica a los dispositivos de una red. Un servidor de
DHCP administra y asigna las direcciones IP y garantiza que todas las direcciones IP
sean únicas.

104
5.3.3 Configuración de DHCP

Cuando se configura un host como cliente de DHCP por primera vez, éste no tiene
dirección IP, máscara de subred ni gateway por defecto. Obtiene la información desde un
servidor de DHCP, ya sea de la red local o del ISP. El servidor de DHCP está configurado
con un rango o pool de direcciones IP que pueden ser asignadas a los clientes de DHCP.

El cliente que necesite una dirección IP enviará un mensaje de descubrimiento de DHCP,

que es un broadcast con la dirección IP de destino 255.255.255.255 (32 unos) y una
dirección MAC de destino FF-FF-FF-FF-FF-FF (48 unos). Todos los hosts de la red
recibirán esta trama DHCP de broadcast, pero sólo un servidor de DHCP responderá. El
servidor responderá con una oferta de DHCP y sugerirá una dirección IP para el cliente. El
host, luego, enviará una solicitud de DHCP a ese servidor, en la cual pedirá autorización
para utilizar la dirección IP sugerida. El servidor responderá con una confirmación DHCP.

El servidor de DHCP puede estar ubicado en otra red. Los clientes de DHCP aún podrán
obtener direcciones IP, siempre que los routers intermedios estén configurados para
reenviar las solicitudes de DHCP.
Descubrimiento de DHCP: Paquete
enviado por el cliente en una subred
física local para encontrar servidores
disponibles

Oferta de DHCP: paquete enviado por el cliente

para solicitar una extensión del arrendamiento
de la dirección IP. Para hacerlo se reserva una
dirección IP para el cliente y se envía un
mensaje DHCPOFFER broadcast a toda la red.

105
 Solicitud de DHCP: Cuando el ordenador cliente
obtiene acceso a la red envía un paquete DHCP
para solicitar un arrendamiento, si es necesario

Confirmación DHCP: Un servidor envía

una confirmación DHCP al cliente al recibir
un DHCPREQUEST (solicitud DHCP) del
cliente.

En la mayoría de las redes domésticas y de empresas pequeñas, un dispositivo

multifunción proporciona servicios de DHCP a los clientes de la red local. Para configurar
un router inalámbrico Linksys, acceda a la interfaz gráfica Web a través del explorador e
introduzca en el área de dirección la dirección IP por defecto del router: 192.168.1.1.
Navegue hasta la pantalla que muestra la configuración de DHCP.

La dirección IP 192.168.1.1 y la máscara de subred 255.255.255.0 son los valores por

defecto para la interfaz del router interno. Ésta es la gateway por defecto para todos los
hosts en la red local y también la dirección IP interna del servidor de DHCP. La mayoría
de los routers inalámbricos Linksys y otros routers integrados para el hogar poseen un
servidor de DHCP habilitado por defecto.

En la pantalla de configuración de DHCP, está disponible un rango de DHCP por defecto.

También se puede especificar una dirección inicial para el rango de DHCP (no utilice
192.168.1.1) y la cantidad de direcciones que debe asignarse. El período de
arrendamiento también puede modificarse (el por defecto es de 24 horas). La función de
configuración de DHCP de la mayoría de los ISR incluye información acerca de los hosts
conectados y las direcciones IP, sus direcciones MAC asociadas y los períodos de
arrendamiento.

La tabla de cliente de DHCP también muestra el nombre del cliente y si está conectado
por medio de una interfaz LAN Ethernet o inalámbrica.

5.4 Administración de direcciones

5.4.1 Líneas divisorias de red y espacio de dirección.

El router proporciona una gateway por la cual los hosts de una red pueden comunicarse
con los hosts de diferentes redes. Cada interfaz en un router está conectada a una red
separada.

La dirección IP asignada a la interfaz identifica qué red local está conectada directamente
a ésta.

106
Cada host de una red debe utilizar el router como gateway hacia otras redes. Por lo tanto,
cada host debe conocer la dirección IP de la interfaz del router conectada a la red donde
el host se encuentra. Esta dirección se conoce como dirección de gateway por defecto.
Puede configurarse estáticamente en el host o puede recibirse dinámicamente por DHCP.

La dirección IP de la interfaz de router local se convierte en la dirección de gateway por

defecto para la configuración del host. La gateway por defecto puede proporcionarse
estáticamente o por DHCP.

Cuando un router integrado está configurado como servidor de DHCP, proporciona su

propia dirección IP interna como gateway por defecto a los clientes de DHCP. También
les proporciona las direcciones IP y las máscaras de subred respectivas.

5.4.2 Asignación de direcciones

El router integrado actúa como servidor de DHCP para todos los hosts locales conectados
a él, ya sea por medio de cable Ethernet o de forma inalámbrica. Se dice que estos hosts
locales son internos, ya que se encuentran dentro de la red. La mayoría de los servidores
de DHCP está configurada para asignar direcciones privadas a los hosts de la red interna,
en lugar de direcciones públicas enrutables de Internet. Esto garantiza que, por defecto,
no sea posible acceder directamente desde Internet a la red interna.

La dirección IP por defecto configurada en la interfaz de router integrado local

generalmente es una dirección privada Clase C. Los hosts internos deben recibir
direcciones dentro de la misma red que el router integrado, ya sea mediante una
configuración estática o a través de DHCP. Cuando se configura como servidor de DHCP,
el router integrado proporciona direcciones dentro de este rango. También proporciona
información acerca de la máscara de subred y su propia dirección IP de interfaz como
gateway por defecto.

Muchos ISP también utilizan servidores de DHCP para proporcionar direcciones IP al lado
de Internet del router integrado instalado en los sitios de sus clientes. La red asignada al
lado de Internet del router integrado se conoce como externa o fuera de la red.

Cuando se conecta un router integrado al ISP, actúa como un cliente de DHCP para
recibir la dirección IP correcta de la red externa para la interfaz de Internet. Los ISP

107
generalmente proporcionan una dirección enrutable para Internet, que permite que los
hosts conectados al router integrado tengan acceso a Internet.

El router integrado actúa como límite entre la red local interna y la Internet externa.

Existen varias formas para conectar hosts a un ISP y a Internet. El hecho de que un host
individual reciba una dirección pública o privada depende de la forma en que está
conectado.

Conexión directa

Algunos clientes sólo poseen una computadora con conexión directa desde el ISP a
través de un módem. En este caso, la dirección pública es asignada al host simple desde
el servidor de DHCP del ISP.

Conexión a través de un router integrado

Cuando más de un host necesita acceso a Internet, el módem del ISP puede conectarse
directamente a un router integrado en lugar de conectarse directamente a una única
computadora. Esto permite la creación de una red doméstica o para una empresa
pequeña. El router integrado recibe la dirección pública desde el ISP. Los hosts internos
reciben direcciones privadas desde el router integrado.

Conexión a través de un dispositivo gateway

Los dispositivos gateway combinan un router integrado y un módem en una sola unidad y
se conectan directamente al servicio del ISP. Como sucede con los routers integrados, el
dispositivo gateway recibe una dirección pública desde el ISP, y las PC internas reciben
las direcciones privadas desde el dispositivo gateway.

108
5.4.3 Traducción de direcciones de red

El router integrado recibe una dirección pública desde el ISP, lo que le permite enviar y
recibir paquetes en Internet. Éste, a su vez, proporciona direcciones privadas a los
clientes de la red local. Dado que las direcciones privadas no están permitidas en Internet,
se necesita un proceso para traducir las direcciones privadas a direcciones públicas
únicas para permitir que los clientes locales se comuniquen por Internet.

El proceso que se utiliza para convertir las direcciones privadas en direcciones enrutables
para Internet se denomina traducción de direcciones de red (NAT, Network Address
Translation). Con NAT, una dirección IP de origen privado (local) se traduce a una
dirección pública (global). En el caso de los paquetes entrantes, el proceso es inverso.
Por medio de NAT, el router integrado puede traducir muchas direcciones IP internas a la
misma dirección pública.

Sólo es necesario traducir los paquetes destinados a otras redes. Estos paquetes deben
pasar por la gateway, donde el router integrado reemplaza la dirección IP privada del host
de origen con su propia dirección IP pública.

A pesar de que cada host de la red interna tiene asignada una dirección IP privada única,
los hosts deben compartir la dirección enrutable de Internet única asignada al router
integrado.

109
Capítulo 6. Servicios de red
6.1 Clientes, servidores y su interacción
6.1.1 Relación entre cliente y servidor

Diariamente las personas utilizan los servicios disponibles en las redes y en Internet para
comunicarse con otros y realizar tareas de rutina. Pocas veces pensamos en los
servidores, clientes y dispositivos de red necesarios para poder recibir un correo
electrónico, introducir información en un blog o comprar los mejores artículos a buen
precio en una tienda en línea. La mayoría de las aplicaciones de Internet más comunes se
basa en interacciones complejas entre diversos servidores y clientes.

El término servidor hace referencia a un host que ejecuta una aplicación de software que
proporciona información o servicios a otros hosts conectados a la red. Un ejemplo
conocido de dicha aplicación es un servidor Web. Existen millones de servidores
conectados a Internet que proporcionan servicios como sitios Web, correo electrónico,
transacciones financieras, descargas de música, etc. Un factor fundamental para permitir
el funcionamiento de estas interacciones complejas es que todos emplean estándares o
protocolos acordados.

Para solicitar y ver una página Web, el usuario utiliza un dispositivo que ejecuta software
cliente de Web. Cliente es el nombre que se le da a una aplicación informática que se
utiliza para acceder a información almacenada en un servidor. Un buen ejemplo de cliente
es un explorador Web.

La característica clave de los sistemas cliente-servidor es que el cliente envía una

solicitud a un servidor, y éste responde ejecutando una función, como enviar información
al cliente. La combinación de un explorador Web y un servidor Web es quizás el ejemplo
que más se utiliza en un sistema cliente-servidor.

110
6.1.2 Función de los protocolos en una comunicación de cliente-servidor

Durante el proceso de intercambio de información, un servidor Web y un cliente Web

utilizan protocolos y estándares específicos para garantizar la recepción y la comprensión
de los mensajes. Estos protocolos incluyen: protocolos de aplicación, transporte,
internetwork y acceso a la red.

Protocolo de aplicación

El protocolo de transferencia de hipertexto (HTTP) rige la forma en que interactúan un

servidor Web y un cliente Web. HTTP define el formato de las solicitudes y las respuestas
que se intercambian entre el cliente y el servidor. HTTP se basa en otros protocolos para
regular la forma en que se transmiten los mensajes entre el cliente y el servidor.

Protocolo de transporte

El protocolo de control de transmisión (TCP), Transmission Control Protocol es el

protocolo de transporte que administra las conversaciones individuales entre servidores
Web y clientes Web. TCP formatea los mensajes HTTP en segmentos para enviarlos al
host de destino. También proporciona control del flujo y reconocimientos de los paquetes
que se intercambian entre los hosts.

111
Protocolo internetwork

El protocolo internetwork más común es el protocolo de Internet (IP, Internet Protocol). IP

es el responsable de tomar los segmentos formateados de TCP, asignar la dirección
lógica y encapsularlos en paquetes para enrutarlos al host de destino.

Protocolos de acceso a la red

Ethernet es el protocolo que más se utiliza para las redes locales. Los protocolos de
acceso a la red desarrollan dos funciones principales: administración de enlaces de datos
y transmisiones de redes físicas.

Los protocolos de administración de enlaces de datos toman los paquetes de IP y los

encapsulan en el formato de trama correspondiente para la red local. Estos protocolos
asignan las direcciones físicas a las tramas y las preparan para poder transmitirlas por la
red.

Los estándares y protocolos para los medios físicos rigen la manera en que los bits se
representan en los medios, la manera en que las señales se envían por los medios y la
manera en que los hosts receptores interpretan estas señales. Las tarjetas de la interfaz
de red implementan los protocolos correspondientes para los medios que se están
utilizando.

6.1.3 Protocolos de transporte TCP y UDP

Cada servicio disponible en la red tiene sus propios protocolos de aplicación que se
implementan en el software de cliente y servidor. Además de los protocolos de aplicación,
todos los servicios de Internet tradicionales utilizan el protocolo de Internet (IP) para
asignar direcciones a los mensajes y enrutarlos a los hosts de origen y de destino.

IP se ocupa sólo de la estructura, el direccionamiento y el enrutamiento de paquetes. IP

especifica la manera en que se lleva a cabo la entrega o el transporte de los paquetes.
Los protocolos de transporte especifican la manera en que se transfieren los mensajes
entre los hosts. Los dos protocolos de transporte más comunes son el protocolo de control
de transmisión (TCP, Transmission Control Protocol) y el protocolo de datagramas del
usuario (UDP, User Datagram Protocol). El protocolo IP utiliza estos protocolos de
transporte para permitir la comunicación y la transferencia de datos entre los hosts.

112
Cuando una aplicación necesita un acuse de recibo de un mensaje, utiliza el protocolo
TCP. Esto es similar a enviar una carta certificada mediante un sistema de correo postal,
donde el destinatario debe estampar su firma como acuse de recibo de la carta.

TCP divide el mensaje en partes pequeñas, conocidas como segmentos. Los segmentos
se numeran en secuencia y se pasan al proceso IP para armarse en paquetes. TCP
realiza un seguimiento del número de segmentos que se enviaron a un host específico
desde una aplicación específica. Si el emisor no recibe un acuse de recibo antes del
transcurso de un período determinado, supone que los segmentos se perdieron y los
vuelve a transmitir. Sólo se vuelve a enviar la parte del mensaje que se perdió, no todo el
mensaje.

En el host receptor, TCP se encarga de rearmar los segmentos del mensaje y de pasarlos
a la aplicación.

FTP y HTTP son ejemplos de aplicaciones que utilizan TCP para garantizar la entrega de
datos.

En algunos casos, el protocolo de acuse de recibo TCP no es necesario y en realidad

reduce la velocidad de la transferencia de información. En esos casos, UDP puede ser un
protocolo de transporte más apropiado.

UDP es un sistema de entrega "de mejor esfuerzo" que no necesita acuse de recibo. Es
similar a enviar una carta por sistema de correo postal. No se garantiza que la carta
llegará, pero existen grandes probabilidades de que esto suceda.

Con aplicaciones como streaming audio, vídeo y voz sobre IP (VoIP), es preferible utilizar
UDP. Los acuses de recibo reducirían la velocidad de la entrega, y las retransmisiones no
son recomendables.

Un ejemplo de una aplicación que utiliza UDP es la radio por Internet. Si parte del
mensaje se pierde durante su transmisión por la red, no se vuelve a transmitir. Si se
pierden algunos paquetes, el oyente podrá escuchar una breve interrupción en el sonido.
Si se utilizara TCP y se volvieran a enviar los paquetes perdidos, la transmisión haría una
pausa para recibirlos, y la interrupción sería más notoria.

6.1.4 Números de puerto TCP/IP

Cuando se envía un mensaje utilizando TCP o UDP, los protocolos y servicios solicitados
se identifican con un número de puerto. Un puerto es un identificador numérico de cada
segmento, que se utiliza para realizar un seguimiento de conversaciones específicas y de
servicios de destino solicitados. Cada mensaje que envía un host contiene un puerto de
origen y un puerto de destino.

Puerto de destino

El cliente coloca un número de puerto de destino en el segmento para informar al servidor

de destino el servicio solicitado. Por ejemplo: el puerto 80 se refiere a HTTP o al servicio
Web. Cuando un cliente especifica puerto 80 en el puerto de destino, el servidor que

113
recibe el mensaje sabe que se solicitan servicios Web. Un servidor puede ofrecer más de
un servicio simultáneamente. Por ejemplo: puede ofrecer servicios Web en el puerto 80 al
mismo tiempo que ofrece el establecimiento de una conexión FTP en el puerto 21.

Puerto de origen

El número de puerto de origen es generado de manera aleatoria por el dispositivo emisor

para identificar una conversación entre dos dispositivos. Esto permite establecer varias
conversaciones simultáneamente. En otras palabras, muchos dispositivos pueden solicitar
el servicio HTTP desde un servidor Web al mismo tiempo. El seguimiento de las
conversaciones por separado se basa en los puertos de origen.

Los puertos de origen y de destino se colocan dentro del segmento. Los segmentos se
encapsulan dentro de un paquete IP. El paquete IP contiene la dirección IP de origen y de
destino. La combinación de la dirección IP de origen y de destino y del número de puerto
de origen y de destino se conoce como socket. El socket se utiliza para identificar el
servidor y el servicio que solicita el cliente. Cada día, miles de hosts se comunican con
miles de servidores diferentes. Los sockets identifican esas comunicaciones.

114
6.2 Servicios y protocolos de aplicación
6.2.1 Servicio de nombres de dominios (DNS, Domain Name Service)

Miles de servidores, instalados en diversas ubicaciones, prestan los servicios que

utilizamos a diario por Internet. A cada uno de estos servidores se le asigna una dirección
IP única que lo identifica en la red local en la que está conectado.

Sería imposible recordar todas las direcciones IP de todos los servidores que prestan
servicios de hospedaje por Internet. Por eso, existe una manera más sencilla de ubicar
servidores mediante la asociación de un nombre con una dirección IP.

El sistema de nombres de dominios (DNS) proporciona un método para que los hosts
utilicen este nombre para solicitar una dirección IP de un servidor específico. Los nombres
del DNS están registrados y organizados en Internet en grupos específicos de alto nivel, o
dominios. Algunos de los dominios de alto nivel más comunes en Internet son: .com, .edu
y .net.

Un servidor DNS contiene una tabla que asocia los nombres de hosts de un dominio con
las direcciones IP correspondientes. Cuando un cliente tiene el nombre de un servidor,
como un servidor Web, pero necesita encontrar la dirección IP, envía una solicitud al
servidor DNS en el puerto 53. El cliente utiliza la dirección IP del servidor DNS
configurada en los parámetros DNS de la configuración IP del host.

Cuando el servidor DNS recibe la solicitud, verifica la tabla para determinar la dirección IP
asociada con ese servidor Web. Si el servidor DNS local no tiene una entrada para el
nombre solicitado, realiza una consulta a otro servidor DNS dentro del dominio. Cuando el
servidor DNS encuentra la dirección IP, esa información se envía nuevamente al cliente.
Si el servidor DNS no puede determinar la dirección IP, se agotará el tiempo de espera de
la respuesta y el cliente no podrá comunicarse con el servidor Web.

El software cliente trabaja con el protocolo DNS para obtener direcciones IP de un modo
que resulte transparente para el usuario.

6.2.2 Clientes y servidores Web

Cuando un cliente Web recibe una dirección IP de un servidor Web, el explorador cliente
utiliza esa dirección IP y el puerto 80 para solicitar servicios Web. Esta solicitud se envía
al servidor mediante el protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer
Protocol).
Cuando el servidor recibe una solicitud del puerto 80, responde la solicitud del cliente y le
envía la página Web. El contenido de la información de una página Web se codifica
utilizando lenguajes de "etiquetas" especializados. El lenguaje de etiquetas por hipertexto
(HTML, Hypertext Mark-up Language) es el que más se utiliza, pero hay otros, como XML
y XHTML, que están ganando popularidad.

El protocolo HTTP no es un protocolo seguro; otros usuarios pueden interceptar la

información fácilmente cuando ésta se envía por la red. Para garantizar la seguridad de
los datos, HTTP se puede utilizar con protocolos de transporte seguros. Las solicitudes de

115
HTTP seguro se envían al puerto 443. Estas solicitudes requieren el uso de "https:" en la
dirección del sitio del explorador, en lugar de "http:".

El mercado ofrece muchos servicios y clientes Web. El protocolo HTTP y el lenguaje

HTML hacen posible que estos servidores y clientes de diversos fabricantes funcionen
juntos sin inconvenientes.

6.2.3 Clientes y servidores FTP

Además de los servicios Web, otro servicio que se utiliza comúnmente por medio de
Internet es el que permite a los usuarios transferir archivos.

El protocolo de transferencia de archivos (FTP, File Transfer Protocol) brinda un método

sencillo para transferir archivos de una computadora a otra. Un host que ejecuta un
software cliente FTP puede acceder a un servidor FTP para realizar diversas funciones de
administración de archivos, entre ellas subir y descargar archivos.

El servidor FTP permite a un cliente intercambiar archivos entre dispositivos. También

permite a los clientes administrar archivos de manera remota enviando comandos de
administración de archivos, como Eliminar o Cambiar nombre. Para lograr esto, el servicio
FTP utiliza dos puertos para las comunicaciones entre el cliente y el servidor.

Las solicitudes para comenzar una sesión FTP se envían al servidor mediante el puerto
de destino 21. Una vez abierta la sesión, el servidor pasará al puerto 20 para transferir los
archivos de datos.

El software cliente FTP viene incorporado en los sistemas operativos y en la mayoría de

los exploradores Web. Los clientes FTP independientes ofrecen muchas opciones en una
interfaz fácil de usar basada en GUI.

116
6.2.4 Clientes y servidores de correo electrónico

El correo electrónico es una de las aplicaciones cliente-servidor más comunes de Internet.

Los servidores de correo electrónico ejecutan software servidor que les permite
interactuar con clientes y con otros servidores de correo electrónico mediante la red.

Cada servidor de correo recibe y almacena correspondencia para los usuarios que tienen
buzones configurados en el servidor de correo. Cada usuario que tenga un buzón deberá
utilizar entonces un cliente de correo electrónico para acceder al servidor de correo y leer
estos mensajes.

Los servidores de correo también se utilizan para enviar correspondencia dirigida a

buzones locales o ubicados en otros servidores de correo electrónico.

Los buzones se identifican por el formato:

usuario@empresa.dominio.

Los diversos protocolos de aplicación que se utilizan en el procesamiento de correo

electrónico incluyen: SMTP, POP3 e IMAP4.

Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol)

SMTP es utilizado por un cliente de correo electrónico para enviar mensajes a su servidor
de correo electrónico local. El servidor local entonces decide si el mensaje se destina a un
buzón local o si se remite a un buzón de otro servidor.

Si el servidor tiene que enviar el mensaje a un servidor diferente, también se utiliza SMTP
entre los dos servidores. Las solicitudes de SMTP se envían al puerto 25.
Protocolo de oficina de correos (POP3, Post Office Protocol)

Un servidor que soporta clientes POP recibe y almacena mensajes dirigidos a sus
usuarios. Cuando el cliente se conecta con el servidor de correo electrónico, los mensajes
se descargan al cliente. Por defecto, los mensajes no se retienen en el servidor una vez
que el cliente accede a ellos. Los clientes se ponen en contacto con los servidores POP3
en el puerto 110.

Protocolo de acceso a mensajes de Internet (IMAP4, Internet Message Access Protocol)

Un servidor que soporta el cliente IMAP también recibe y almacena los mensajes dirigidos
a sus usuarios. Sin embargo, conserva los mensajes en los buzones del servidor, a
menos que el usuario los elimine. La versión más actual de IMAP es IMAP4, que espera
las solicitudes del cliente en el puerto 143.

Existen muchos servidores de correo electrónico diferentes para las diversas plataformas
de sistema operativo de la red.

117
Un cliente de correo electrónico se conecta con el servidor de correo electrónico para
descargar y ver los mensajes. La mayoría de los clientes de correo electrónico se puede
configurar para usar POP3 o IMAP4, según el servidor de correo electrónico donde se
encuentre el buzón. Los clientes de correo electrónico también deben poder enviar correo
electrónico al servidor mediante SMTP.

Es posible configurar distintos servidores de correo electrónico para correo entrante y

saliente

A continuación se enumeran entradas típicas que se utilizan cuando se configura un

cliente de correo electrónico:
◊ Nombre del servidor POP3 o IMAP4
◊ Nombre del servidor SMTP
◊ Nombre de usuario
◊ Contraseña de usuario
◊ Filtros de correo no deseado y antivirus

118
El gráfico muestra la configuración básica de una cuenta de correo electrónico POP3 y
SMTP con Microsoft Outlook.

6.2.5 Clientes y servidores IM

La mensajería instantánea (IM, Instant Messaging) es una de las herramientas de

comunicación más utilizadas en la actualidad. El software IM se ejecuta de forma local en
cada computadora y permite a los usuarios comunicarse o conversar por Internet en
tiempo real. Hay muchas aplicaciones IM de diversas empresas disponibles. Cada
servicio de mensajería instantánea puede utilizar un protocolo y un puerto de destino
diferentes; por eso, debe haber dos hosts con software IM compatible para que éstos
puedan comunicarse.

Las aplicaciones IM requieren una configuración mínima para funcionar. Una vez que el
cliente se descarga, lo único necesario es escribir el nombre de usuario y la contraseña.
Esto permite la autenticación del cliente IM en la red IM. Una vez que se conectan al
sistema, los clientes pueden enviar mensajes a otros clientes en tiempo real. Además de
mensajes de texto, IM admite la transferencia de archivos de vídeo, música y voz. Los
clientes IM pueden contar con una función de telefonía, que permite a los usuarios realizar
llamadas telefónicas por medio de Internet. Es posible realizar más configuraciones para
personalizar el cliente IM con "listas de conocidos" y para darle un aspecto personal.

El software cliente IM se puede descargar y utilizar en cualquier tipo de host, entre ellos:
computadoras, PDA y teléfonos celulares.

119
6.2.6 Clientes y servidores de voz

Realizar llamadas telefónicas por medio de Internet es cada vez más común. Un cliente
de telefonía por Internet emplea tecnología peer-to-peer similar a la que utiliza la
mensajería instantánea. La telefonía IP aprovecha la tecnología de voz sobre IP (VoIP)
que utiliza paquetes IP para transmitir la voz digitalizada como datos.

Para comenzar a utilizar la telefonía por Internet, descargue el software cliente de una de
las empresas que prestan el servicio. Las tarifas de los servicios de telefonía por Internet
pueden variar enormemente según la región y el proveedor.

Una vez instalado el software, el usuario selecciona un nombre exclusivo. De esta manera,
los usuarios pueden recibir llamadas de otros usuarios. Se necesitan altavoces y un
micrófono, ya sea incorporados o independientes. También se suele conectar a la
computadora un auricular para usarlo como teléfono.

Para llamar a otros usuarios del mismo servicio por Internet se debe seleccionar el
nombre de usuario de una lista. Para realizar una llamada a un teléfono común (de línea o
celular), se necesita una gateway para acceder a la red pública de telefonía conmutada
(PSTN, Public Switched Telephone Network).

Los protocolos y los puertos de destino que utilizan las aplicaciones de telefonía por
Internet pueden variar según el software.

120
6.2.7 Números de puerto

DNS, Web, e-mail, FTP, IM y VoIP son sólo algunos de los muchos servicios que
proporcionan los sistemas cliente-servidor mediante Internet. Estos servicios pueden ser
prestados por un solo servidor o muchos servidores.

En cualquiera de estos casos es necesario que el servidor conozca el servicio que solicita
el cliente. Las solicitudes del cliente se pueden identificar porque se realizan a un puerto
de destino específico. Los clientes se preconfiguran para usar un puerto de destino que ya
está registrado en Internet para cada servicio.

Los puertos se dividen en tres categorías y abarcan desde el número 1 hasta el 65 535.
Una organización conocida como la Corporación de Internet para la Asignación de
Nombres y Números (ICANN, Corporation for Assigned Names and Numbers)

Puertos conocidos

Los puertos de destino que están asociados a aplicaciones de red comunes se identifican
como puertos conocidos. Estos puertos abarcan del 1 al 1023.

Puertos registrados

Los puertos del 1024 al 49 151 se pueden utilizar como puertos de origen o de destino.
Las organizaciones los utilizan para registrar aplicaciones específicas, como las
aplicaciones IM.

Puertos privados

Los puertos del 49 152 al 65 535 a menudo se utilizan como puertos de origen. Estos
puertos pueden ser utilizados por cualquier aplicación.

La tabla muestra algunos de los puertos conocidos más comunes.

121
6.3 Modelo en capas y protocolos
6.3.1 Interacción de protocolos

Para la comunicación correcta entre hosts, es necesaria la interacción entre una serie de
protocolos. Estos protocolos se implementan en software y hardware que se cargan en
cada host y dispositivo de red.

La interacción entre los protocolos se puede describir como una stack de protocolos. Esta
stack muestra los protocolos como una jerarquía en capas, donde cada protocolo de nivel
superior depende de los servicios de los protocolos que se muestran en los niveles
inferiores.

El gráfico muestra una stack de protocolos con los protocolos principales necesarios para
ejecutar un servidor Web mediante Ethernet. Las capas inferiores de la stack tienen que
ver con la transferencia de datos por la red y con la provisión de servicios a las capas
superiores. Las capas superiores se concentran en el contenido del mensaje que se envía
y en la interfaz de usuario.

122
Para visualizar la interacción entre los diversos protocolos se suele utilizar un modelo en
capas. Este modelo describe la operación de los protocolos que se produce en cada capa
y la interacción con las capas que se encuentran por encima y por debajo de ellos.

El modelo en capas presenta muchos beneficios:

◊ Ayuda en el diseño de protocolos, ya que los protocolos que operan en una capa
específica tienen información definida según la cual actúan, y una interfaz definida
para las capas superiores e inferiores.
◊ Fomenta la competencia, ya que los productos de distintos proveedores pueden
trabajar en conjunto.
◊ Evita que los cambios en la tecnología o en las capacidades de una capa afecten
otras capas superiores e inferiores.
◊ Proporciona un lenguaje común para describir las funciones y las capacidades de
red.

El primer modelo de referencia en capas para las comunicaciones internetwork se creó a

principios de la década del '70 y es conocido como modelo de Internet. Este modelo
define cuatro categorías de funciones que se deben producir para que las comunicaciones
se establezcan correctamente. La arquitectura de los protocolos TCP/IP sigue la
estructura de este modelo. Por lo tanto, el modelo de Internet es conocido normalmente
como modelo TCP/IP.

6.3.2 Operación del protocolo para enviar y recibir un mensaje

Cuando se envían mensajes en una red, la stack de protocolos de un host opera desde
las capas superiores hacia las capas inferiores. En el ejemplo del servidor Web, el
explorador del cliente solicita una página Web a un servidor Web del puerto de destino 80.
Con esto se inicia el proceso de enviar una página Web al cliente.

123
A medida que la página Web va bajando a la stack de protocolos del servidor Web, los
datos de la aplicación se dividen en segmentos TCP. A cada segmento TCP se le asigna
un encabezado que contiene un puerto de origen y de destino.

El segmento TCP encapsula el protocolo HTTP y los datos de usuario HTML de la página
Web, y los envía a la siguiente capa de protocolos inferior, que es IP. Aquí el segmento
TCP se encapsula dentro del paquete IP, el cual le agrega un encabezado IP. Este
encabezado contiene direcciones IP de origen y de destino.

A continuación el paquete IP se envía al protocolo Ethernet, donde se encapsula en un

encabezado de trama y en un tráiler. Cada encabezado de trama de Ethernet contiene
una dirección MAC de origen y de destino. El tráiler contiene información de verificación
de errores. Por último, la NIC del servidor codifica los bits en el medio Ethernet (cable de
cobre o fibra óptica).

Cuando se reciben mensajes provenientes de la red, la stack de protocolos de un host

opera desde las capas inferiores hacia las capas superiores. Anteriormente vimos el
proceso de encapsulación en cada capa en la que el servidor Web enviaba la página Web
al cliente. El proceso de recepción de la página Web comienza con la desencapsulación
del mensaje por parte del cliente.

A medida que la NIC del cliente recibe bits, éstos se decodifican y el cliente reconoce la
dirección MAC de destino como propia.

La trama se sube a la stack de protocolos del cliente Web, donde el encabezado Ethernet
(direcciones MAC de origen y de destino) y el tráiler se eliminan (desencapsulan). El resto
del paquete IP y del contenido asciende a la capa IP.

Ahí, el encabezado IP (direcciones IP de origen y de destino) se elimina y el contenido

asciende a la capa TCP.

En esta capa, el encabezado TCP (puertos de origen y de destino) se elimina y el

contenido de los datos de usuario de la página Web asciende a la aplicación del
explorador mediante HTTP. A medida que se reciben los segmentos TCP, éstos se van
rearmando para generar la página Web.

124
6.3.3 Modelo de interconexión de sistemas abiertos

El modelo de interconexión de sistemas abiertos fue desarrollado en 1984 por la

Organización Internacional para la Estandarización (ISO). A diferencia del modelo TCP/IP,
no especifica la interacción de ningún protocolo específico. Se creó como una arquitectura
para que los desarrolladores siguieran los protocolos de diseño para las comunicaciones
de red. Si bien muy pocas stacks de protocolos implementan con exactitud las siete capas
del modelo OSI, hoy en día se considera que es el modelo de referencia principal para las
comunicaciones entre computadoras.

El modelo OSI incluye todas las funciones o tareas asociadas con las comunicaciones
internetwork; no sólo las relacionadas con los protocolos TCP/IP. En comparación con el
modelo TCP/IP, que sólo tiene cuatro capas, el modelo OSI organiza las tareas en siete
grupos más específicos. De esta manera una tarea o un grupo de tareas se asigna a cada
una de las siete capas OSI.

La esencia de las stacks de protocolos es la separación y la organización de las funciones

principales. La separación de funciones permite que cada capa de la stack funcione
independientemente de las otras capas. Por ejemplo: es posible acceder a un sitio Web
desde una computadora portátil conectada a un módem por cable en el hogar, desde una
computadora portátil con conexión inalámbrica o desde un teléfono móvil habilitado para
conectarse a la Web. La capa de aplicación opera sin inconvenientes,
independientemente de la manera en que operan las capas inferiores.

Del mismo modo, las capas inferiores operan sin inconvenientes. Por ejemplo: una
conexión a Internet funciona correctamente cuando se pueden ejecutar varias
aplicaciones al mismo tiempo, como correo electrónico, exploración Web, IM y descarga
de música.

125
La interfaz gráfica del programa Packet Tracer (PT) permite ver datos simulados que se
transmiten entre dos hosts. Utiliza unidades de datos del protocolo (PDU, Protocol Data
Units) para representar tramas de tráfico de la red y muestra información de la stack de
protocolos en las capas correspondientes del modelo OSI.

En el gráfico, la solicitud del cliente Web es recibida por la tarjeta de interfaz de red (NIC,
Network Interface Card) de Ethernet en el servidor Web. La siguiente información se
muestra en las capas OSI 1 a 4.

Capa 1 (física): puerto Fast Ethernet

Capa 2 (enlace de datos): direcciones MAC Ethernet

Capa 3 (red): direcciones IP

Capa 4 (transporte): números de puerto TCP

126
127
Capítulo 7. Tecnologías inalámbricas

7.1 Tecnología inalámbrica

7.1.1 Dispositivos y tecnologías inalámbricas

Además de la red conectada por cable, existen varias tecnologías que permiten la
transmisión de información entre hosts sin cables. Esas tecnologías se conocen como
tecnologías inalámbricas.

Las tecnologías inalámbricas utilizan ondas electromagnéticas para transportar

información entre dispositivos. Una onda electromagnética es el mismo medio que
transporta señales de radio por aire.

El espectro electromagnético incluye bandas de transmisión de radio y televisión, luz

visible, rayos X y rayos gama. Cada uno de estos elementos tiene un rango específico de
longitud de onda y energías asociadas, como se muestra en el diagrama.

Algunos tipos de ondas electromagnéticas no son adecuados para transportar datos.

Otras partes del espectro están reguladas por los Gobiernos y se otorgan licencias para
aplicaciones específicas a varias organizaciones. Algunas áreas del espectro se han
reservado al uso público, sin la restricción de tener que solicitar permisos especiales. Las
longitudes de onda más utilizadas para comunicaciones inalámbricas públicas son la
infrarroja y parte de la banda de radiofrecuencia (RF).

Infrarrojo

La energía infrarroja (IR) es una energía relativamente baja y no puede atravesar paredes
ni obstáculos. Sin embargo, se usa comúnmente para conectar y transportar datos entre
dispositivos como asistentes digitales personales (PDA, personal digital assistants) y PC.
Un puerto de comunicación especializado, conocido como puerto de acceso directo

128
infrarrojo (IrDA, infrared direct access) utiliza el infrarrojo para intercambiar información
entre dispositivos. La tecnología IR sólo permite un tipo de conexión uno a uno.

La IR también se utiliza para los dispositivos de control remoto, los mouses inalámbricos y
los teclados inalámbricos. Generalmente se utiliza para comunicaciones de corto rango
dentro de la línea de vista. Sin embargo, se puede reflejar la señal de IR desde los objetos
para ampliar el rango. Para rangos mayores se requieren frecuencias mayores de ondas
electromagnéticas.

Radiofrecuencia (RF)

Las ondas de RF pueden atravesar paredes y otros obstáculos, lo que brinda un mayor
rango que el IR.

Ciertas áreas de bandas de RF se han reservado para el uso de parte de dispositivos sin
licencia, como las LAN inalámbricas, los teléfonos inalámbricos y los periféricos para
computadora. Esto incluye los rangos de frecuencia de 900 MHz, 2,4 GHz y 5 GHz. Estos
rangos se conocen como bandas industriales, científicas y médicas (ISM, industrial
scientific and medical) y pueden usarse con muy pocas restricciones.

Bluetooth es una tecnología que utiliza la banda de 2,4 GHz. Se limita a comunicaciones
de baja velocidad y corto rango, pero tiene la ventaja de comunicarse con muchos
dispositivos al mismo tiempo. Estas comunicaciones de uno a varios dispositivos han
hecho que la tecnología Bluetooth sea el método preferido por sobre IR para conectar
periféricos de computadora, como mouse, teclados e impresoras.

Otras tecnologías que utilizan las bandas de 2,4 GHz y 5 GHz son las modernas
tecnologías LAN inalámbricas que cumplen con los distintos estándares IEEE 802.11. Son
distintas a la tecnología Bluetooth ya que transmiten con un nivel de energía mucho más
alto, lo que les otorga un rango aún mayor.

129
7.1.2 Beneficios y limitaciones de la tecnología inalámbrica

La tecnología inalámbrica ofrece muchas ventajas en comparación con las tradicionales

redes conectadas por cable.

Una de las principales ventajas es la capacidad de brindar conectividad en cualquier

momento y lugar. La extendida implementación de la conexión inalámbrica en lugares
públicos, conocidos como puntos de conexión, permite a las personas conectarse a
Internet para descargar información e intercambiar mensajes de correo electrónico y
archivos.

La instalación de la tecnología inalámbrica es simple y económica. El costo de

dispositivos inalámbricos domésticos y comerciales continúa disminuyendo. Sin embargo,
a pesar de la disminución del costo, las capacidades y la velocidad de transmisión de
datos han aumentado, lo que permite conexiones inalámbricas más confiables y rápidas.

La tecnología inalámbrica permite que las redes se amplíen fácilmente, sin limitaciones de
conexiones de cableado. Los usuarios nuevos y los visitantes pueden unirse a la red
rápida y fácilmente.

A pesar de la flexibilidad y los beneficios de la tecnología inalámbrica, existen algunos

riesgos y limitaciones.

Primero, las tecnologías LAN inalámbricas (WLAN, Wireless LAN) utilizan las regiones sin
licencia del espectro de RF. Dado que estas regiones no están reguladas, muchos
dispositivos distintos las utilizan. Como resultado, estas regiones están saturadas y las
señales de distintos dispositivos suelen interferir entre sí. Además, muchos dispositivos,
como los hornos de microondas y los teléfonos inalámbricos, utilizan estas frecuencias y
pueden interferir en las comunicaciones WLAN.

En segundo lugar, un área problemática de la tecnología inalámbrica es la seguridad. La

tecnología inalámbrica brinda facilidad de acceso, ya que transmite datos de manera que
otorga a todos los usuarios la capacidad de acceder a ella. Sin embargo, esta misma
característica también limita la cantidad de protección que la conexión inalámbrica puede
brindar a los datos. Permite a cualquier persona interceptar la corriente de comunicación,
incluso a los receptores accidentales. Pata tratar estas cuestiones de seguridad se han
desarrollado técnicas para ayudar a proteger las transmisiones inalámbricas, por ejemplo
la encriptación y la autenticación.

130
7.1.3 Tipos de redes inalámbricas y sus línes divisorias

Las redes inalámbricas se agrupan en tres categorías principales: redes de área personal
inalámbricas (WPAN), redes de área local inalámbricas (WLAN) y redes de área extensa
inalámbricas (WWAN).

A pesar de estas categorías definidas es difícil fijar líneas divisoras en una

implementación inalámbrica. Esto sucede porque, a diferencia de una red conectada por
cable, las redes inalámbricas no tienen límites precisamente definidos. El rango de
transmisiones inalámbricas puede variar debido a distintos factores. Las redes
inalámbricas son vulnerables a las fuentes externas de interferencias, tanto naturales
como generadas por el hombre. Las fluctuaciones de temperatura y humedad pueden
alterar en gran medida la cobertura de las redes inalámbricas. Los obstáculos dentro de
un entorno inalámbrico también pueden afectar el rango.

WPAN

Es la red inalámbrica más pequeña, utilizada para conectar varios dispositivos periféricos,
como mouse, teclados y PDA, a una computadora. Todos estos dispositivos están
dedicados a un solo host, generalmente mediante la tecnología Bluetooth o IR.

WLAN

La WLAN se usa generalmente para ampliar los límites de la red de área local (LAN, local
wired network). Las WLAN usan la tecnología RF y cumplen con los estándares IEEE

131
802.11. Permiten a muchos usuarios conectarse a una red conectada por cable mediante
un dispositivo conocido como punto de acceso (AP). El punto de acceso proporciona una
conexión entre los hosts inalámbricos y los hosts en una red Ethernet conectada por cable.

WWAN

Las redes WWAN proporcionan cobertura en áreas extremadamente grandes. Un buen

ejemplo de esta tecnología WWAN es la red por teléfono celular. Estas redes utilizan
tecnologías como el acceso múltiple por división de código (CDMA, Code Division Multiple
Access) o el sistema global para comunicaciones móviles (GSM, Global System for Mobile
Communication) y están generalmente reguladas por entidades gubernamentales.

7.2 LAN inalámbricas

7.2.1 Estándares de LAN inalámbricas

Se ha desarrollado una cantidad de estándares para garantizar que los dispositivos

inalámbricos puedan comunicarse. Éstos especifican el espectro de RF usado, las
velocidades de transmisión de datos, la manera en que se transmite la información y otras
cuestiones. La principal organización responsable de la creación de los estándares
técnicos inalámbricos es IEEE.

El estándar IEEE 802.11 rige el entorno WLAN. Existen cuatro enmiendas al estándar
IEEE 802.11 que describen diferentes características para las comunicaciones
inalámbricas. Las enmiendas actualmente disponibles son 802.11a, 802.11b, 802.11g y
802.11n (802.11n no está ratificada en el momento de escribir este documento). Estas
tecnologías se conocen grupalmente con el nombre Wi-Fi, amplia fidelidad.

Otra organización, conocida como Wi-Fi Alliance, es responsable de probar los

dispositivos LAN inalámbricos de distintos fabricantes. El logotipo Wi-Fi en un dispositivo
significa que ese equipo cumple los estándares y debe interoperar con otros dispositivos
del mismo estándar.

132
802.11a:
◊ Usa el espectro de RF de 5 GHz.
◊ No es compatible con el espectro de 2,4 GHz, es decir, dispositivos 802.11b/g/n.
◊ El rango es aproximadamente un 33% del rango de 802.11 b/g.
◊ Su implementación resulta relativamente cara comparada con otras tecnologías.
◊ Es cada vez más difícil encontrar un equipo 802.11a compatible.

802.11b:
◊ Primera de las tecnologías de 2,4 GHz.
◊ Máximo de velocidad de transmisión de datos de 11 Mbps.
◊ Rango de aproximadamente 46 m (150 pies) en interiores/96 m (300 pies) en
exteriores.

802.11g:
◊ Tecnologías de 2,4 GHz.
◊ Máximo aumento de velocidad de transmisión de datos de 54 Mbps.
◊ Algunos rangos compatibles con 802.11b.
◊ Compatible con 802.11b.

802.11n:
◊ El más nuevo de los estándares en desarrollo.
◊ Tecnologías de 2,4 GHz (el estándar borrador especifica compatibilidad con 5
GHz).
◊ Extiende el rango y la rendimiento.
◊ Compatible con equipos 802.11g y 802.11b existentes (el estándar borrador
especifica compatibilidad con 802.11a).

133
7.2.2 Componentes de la LAN inalámbrica

Una vez que se adopta un estándar, es importante que todos los componentes dentro de
la WLAN lo cumplan, o que al menos sean compatibles con ese estándar. Existen varios
componentes que deben tenerse en cuenta en WLAN, incluidos: un cliente inalámbrico o
STA, punto de acceso, bridge inalámbrico y una antena.

134
135
Antenas:
◊ Usadas en AP (puntos de acceso) y bridges inalámbricos.
◊ Aumentan la potencia de la señal de salida.
◊ Reciben señales inalámbricas de otros dispositivos como STA.
◊ El aumento en la potencia de la señal desde una antena se conoce como ganancia.
◊ Mayores ganancias se traducen en distancias de transmisión mayores.

Las antenas se clasifican según la manera en que irradian la señal. Las antenas
direccionales concentran la potencia de la señal en una dirección. Las antenas
omnidireccionales están diseñadas para emitir de igual manera en todas las direcciones.

Al concentrar toda la señal en una sola dirección, las antenas direccionales pueden
obtener mayores distancias de transmisión. Las antenas direccionales se usan
generalmente en aplicaciones de bridge, mientras que las antenas omnidireccionales se
encuentran en AP.

7.2.3 WLAN y SSID

Cuando se genera una red inalámbrica es importante que los componentes inalámbricos
se conecten a la WLAN apropiada. Esto se realiza mediante un identificador del servicio
(SSID, Service Set Identifier).

El SSID es una cadena alfanumérica que distingue entre mayúsculas y minúsculas y

consta de hasta 32 caracteres. Se envía en el encabezado de todas las tramas
transmitidas por la WLAN. El SSID se utiliza para comunicar a los dispositivos
inalámbricos a qué WLAN pertenecen y con qué otros dispositivos pueden comunicarse.

Independientemente del tipo de instalación WLAN, todos los dispositivos inalámbricos en

una WLAN pueden configurarse con el mismo SSID a fin de poder realizar la
comunicación.

136
Existen dos tipos básicos de instalaciones WLAN: ad hoc y modo de infraestructura.

Ad hoc

La manera más simple de red inalámbrica se crea al conectar dos o más clientes
inalámbricos en una red peer-to-peer. Una red inalámbrica establecida de esta manera se
conoce como red ad-hoc y no incluye AP. Todos los clientes dentro de una red ad-hoc son
iguales. El área cubierta por esta red se conoce como conjunto de servicios básicos
independientes (IBSS, Independent Basic Service Set). Una red ad-hoc simple puede
utilizarse para intercambiar archivos e información entre dispositivos sin el gasto ni la
complejidad de comprar y configurar un AP.

Modo de infraestructura

A pesar de que una configuración ad-hoc puede ser buena para redes pequeñas, las
redes más grandes requieren un solo dispositivo que controle las comunicaciones en la
celda inalámbrica. Si está presente, un AP puede asumir este rol y controlar quién puede
hablar y cuándo. Esto se conoce como modo de infraestructura y es el modo de
comunicación inalámbrica más usado en los entornos domésticos y comerciales. En esta
forma de WLAN, las STA inalámbricas no pueden comunicarse directamente entre sí.
Para comunicarse, cada dispositivo debe obtener un permiso de un AP. El AP controla
todas las comunicaciones y garantiza que todas las STA tengan igual acceso al medio. El
área cubierta por un solo AP se conoce como un conjunto de servicios básicos (BSS,
Basic Service Set) o celda.

El conjunto de servicios básicos (BSS, Basic Service Set) es el elemento básico más
pequeño de una WLAN. El área de cobertura de un solo AP es limitado. Para ampliar el
área de cobertura, se pueden conectar varios BSS mediante un sistema de distribución
(DS). Esto forma un conjunto de servicios extendidos (ESS, Extended Service Set). Un
ESS utiliza varios AP. Cada AP es un BSS separado.

A fin de permitir el movimiento entre las celdas sin que se pierda señal, los BSS deben
superponerse en aproximadamente un 10%. Esto le permite al cliente conectarse a un
segundo AP antes de desconectarse del primero.

137
La mayoría de los entornos domésticos y comerciales consiste en un solo BSS. Sin
embargo, a medida que el área de cobertura requerida y el número de hosts que
necesitan conectarse aumenta, se debe crear un ESS.

7.2.4 Canales inalámbricos

Independientemente de si los clientes inalámbricos se están comunicando con IBSS, BSS

o ESS, la conversación entre el emisor y el receptor debe controlarse. Una manera de
lograrlo es el uso de Canales.

Los canales se crean al dividir el espectro de RF disponible. Cada canal puede transportar
una conversación diferente. Esto es similar a la manera en que los distintos canales de
televisión se transmiten por un único medio. Varios AP pueden funcionar muy cerca unos
de otros siempre que utilicen diferentes canales para la comunicación.

Lamentablemente, es posible que las frecuencias utilizadas por algunos canales se

superpongan con las utilizadas por otros. Diferentes conversaciones deben realizarse en
canales no superpuestos. La cantidad y la distribución de canales varían según la región y
la tecnología. La selección de un canal usado para una conversación específica puede
configurarse manual o automáticamente, según factores como el uso actual y el
rendimiento disponible.

Normalmente, cada conversación inalámbrica utiliza un canal individual. Algunas de las

más nuevas tecnologías combinan los canales para crear un solo canal amplio, que
proporciona más ancho de banda y aumenta la velocidad de transmisión de datos.

Dentro de una WLAN, la falta de límites bien definidos hace imposible detectar si se
producen colisiones durante una transmisión. Por lo tanto es necesario usar un método de
acceso en una red inalámbrica que garantice que no se produzcan dichas colisiones.

Las tecnologías inalámbricas utilizan un método de acceso denominado acceso múltiple

por detección de portadora con prevención de colisiones (CSMA/CA, Carrier Sense
Multiple Access with Collision Avoidance). CSMA/CA crea una reserva en el canal para
que sea utilizada por una conversación específica. Cuando existe una reserva ningún otro
dispositivo puede transmitir en el canal, por lo que se evitan posibles colisiones.

138
¿Cómo funciona este proceso de reserva? Si un dispositivo requiere el uso de un canal
específico de comunicación en un BSS, debe solicitar permiso al AP. Esto se conoce
como solicitud para enviar (RTS, Request to Send). Si el canal se encuentra disponible, el
AP responderá al dispositivo con el mensaje de listo para enviar (CTS, Clear to Send),
que indica que el dispositivo puede transmitir por el canal. El mensaje CTS se transmite a
todos los dispositivos dentro del BSS. Por lo tanto todos los dispositivos en el BSS saben
que el canal solicitado está ahora en uso.

Una vez que la conversación se completa, el dispositivo que solicitó el canal envía otro
mensaje, conocido como acuse de recibo (ACK, Acknowledgement) a un AP. El ACK
indica al AP que el canal puede liberarse. Este mensaje se transmite a todos los
dispositivos dentro de la WLAN. Todos los dispositivos dentro del BSS reciben ACK y
saben que el canal está nuevamente disponible.

7.2.5 Configuración del punto de acceso

Una vez que se eligieron el estándar, la configuración y la asignación de canales

inalámbricos, es hora de configurar el AP.

La mayoría de los routers integrados ofrece conectividad por cable o inalámbrica y sirve
como AP en la red inalámbrica. Las configuraciones básicas (como contraseñas,
direcciones IP y configuraciones DHCP) son las mismas, independientemente de si el
dispositivo se utiliza para conectar hosts con cable o host inalámbricos. Las tareas de
configuración básicas, como cambiar la contraseña por defecto, se deben realizar antes
de que el AP se conecte a una red activa.

Cuando se utiliza la función inalámbrica de un router integrado se requieren parámetros

de configuración adicionales, como la configuración de un modo inalámbrico, SSID, y
canales inalámbricos para utilizar.

139
Modo inalámbrico

La mayoría de los dispositivos AP domésticos puede admitir varios modos, principalmente

802,11g, 802.11g y 802.11n. A pesar de que todos estos modos utilizan el rango de 2,4
GHz, cada uno usa una tecnología diferente para obtener el máximo rendimiento. El tipo
de modo habilitado en el AP depende del tipo de host que se conecte a él. Si sólo se
conecta un tipo de host al dispositivo AP, configure el modo que lo admita. Si se van a
conectar distintos tipos de host, seleccione el modo Mixto. Cada modo incluye cierta
cantidad de gasto. Al habilitar el modo Mixto, el rendimiento de la red disminuirá debido al
gasto en el que se habrá incurrido para admitir todos los modos.

SSID

El SSID se utiliza para identificar la WLAN. Todos los dispositivos que deseen participar
en la WLAN deben tener el mismo SSID. Para permitir una fácil detección de la WLAN por
parte de los clientes se transmite el SSID. Se puede deshabilitar la característica de
transmisión del SSID. Si no se transmite el SSID los clientes inalámbricos necesitarán
configurar este valor manualmente.

Canal inalámbrico

La elección del canal para un AP debe estar relacionada con las otras redes inalámbricas
que lo rodean. Los BSS adyacentes deben utilizar canales que no se superpongan a fin
de optimizar el rendimiento. La mayoría de los AP actualmente ofrece una opción de
configuración manual del canal o permite al AP localizar automáticamente el canal menos
saturado o el que ofrezca el máximo rendimiento.

140
7.2.6 Configuración del cliente inalámbrico

Un host inalámbrico o STA se define como cualquier dispositivo que contenga una NIC
inalámbrica y un software cliente inalámbrico. Este software cliente le permite al hardware
participar en la WLAN. Los dispositivos que son STA incluyen: computadoras portátiles,
PDA, computadoras de escritorio, impresoras, proyectores y teléfonos Wi-Fi.

A fin de que una STA se conecte a la WLAN, la configuración del cliente debe coincidir
con la del AP. Esto incluye el SSID, las configuraciones de seguridad y la información del
canal, si éste se configuró manualmente en el AP. Estas configuraciones están
especificadas en el software cliente que administra la conexión cliente.

El software cliente inalámbrico utilizado puede estar integrado por software al sistema
operativo del dispositivo o puede ser un software de utilidad inalámbrica, independiente y
descargable, diseñado específicamente para interactuar con la NIC inalámbrica.

Software integrado de utilidad inalámbrica

El software cliente inalámbrico de Windows XP es un ejemplo de una utilidad inalámbrica

cliente popular que se incluye como parte del sistema operativo del dispositivo. El
software cliente es un software básico de administración que puede controlar la mayoría
de las configuraciones cliente inalámbricas. Es fácil de usar y ofrece un proceso de
conexión simple.

Software de utilidad inalámbrica independiente

El software de utilidad inalámbrica, como el suministrado con la NIC inalámbrica, está

diseñado para funcionar con esa NIC específica. Generalmente ofrece funcionalidad
mejorada en comparación con el software de utilidad inalámbrica de Windows XP e
incluye las siguientes características:

◊ Información de enlace: muestra la potencia y la calidad actuales de una única red

inalámbrica
◊ Perfiles: permite opciones de configuración, como el canal y el SSID que se
especificarán para cada red inalámbrica
◊ Relevamiento del sitio: permite la detección de todas las redes inalámbricas
cercanas

No se permite al software de utilidad inalámbrica y al software cliente de Windows XP

administrar la conexión inalámbrica al mismo tiempo. Para la mayoría de las situaciones
Windows XP no es suficiente. Sin embargo, si se deben crear perfiles múltiples para cada
red inalámbrica, o si son necesarias configuraciones avanzadas, es mejor usar la utilidad
provista con la NIC.

141
Una vez que se configure el software cliente, verifique el enlace entre el cliente y el AP.

Abra la pantalla de información del enlace inalámbrico para mostrar datos como la
velocidad de transmisión de datos de la conexión, el estado de conexión y el canal
inalámbrico usado. Si está disponible, la característica Información de enlace muestra la
potencia de señal y la calidad de la señal inalámbrica actuales.

Además de verificar el estado de la conexión inalámbrica, verifique que los datos puedan
transmitirse. Una de las pruebas más comunes para verificar si la transmisión de datos se
realizó correctamente es la prueba de ping. Si el ping se realiza correctamente se puede
realizar la transmisión de datos.

Si el ping no se realiza correctamente de origen a destino haga ping en el AP desde el

cliente inalámbrico para garantizar que la conectividad inalámbrica esté disponible. Si esto
también falla, el problema se encuentra entre el cliente inalámbrico y el AP. Controle la
información de configuración y pruebe restablecer la conectividad.

Si el cliente inalámbrico puede conectarse correctamente al AP, controle la conectividad

desde el AP hasta el siguiente salto en la ruta hacia el destino. Si esto se realiza
correctamente, entonces el problema seguramente no está en la configuración del AP
sino en otro dispositivo de la ruta hacia el destino o en el dispositivo de destino.

142
7.3 Consideraciones de seguridad en una LAN inalámbrica
7.3.1 ¿Por qué son atacadas las WLAN?

Uno de los beneficios principales de una red inalámbrica es la facilidad y conveniencia de

conectar dispositivos. Lamentablemente, esa facilidad de conexión y el hecho de que la
información se transmita por aire también hacen que su trabajo sea vulnerable a la
intercepción y a los ataques.

Con la conectividad inalámbrica, el atacante no necesita una conexión física a su

computadora ni a cualquier otro dispositivo para tener acceso a su red. Un atacante
puede captar las señales de su red inalámbrica como si sintonizara una estación de radio.

El atacante puede tener acceso a su red desde cualquier ubicación a la que llegue su
señal inalámbrica. Una vez que el atacante posee acceso a su red puede usar sus
servicios de Internet de manera gratuita y puede tener acceso a las computadoras de la
red para dañar sus archivos o robar información personal o privada.

Estos puntos vulnerables en la red inalámbrica requieren métodos de implementación y

características de seguridad especiales para ayudarlo a proteger la WLAN contra los
ataques. Estos métodos incluyen sencillos pasos realizados durante la configuración
inicial del dispositivo inalámbrico y configuraciones de seguridad más avanzadas.

Una fácil manera de obtener acceso a una red inalámbrica es utilizar el nombre de la red
o SSID.

Todas las computadoras que se conecten a una red inalámbrica deben conocer el SSID.
Por defecto, los routers inalámbricos y los AP transmiten el SSID a todas las
computadoras dentro del rango inalámbrico. Con el broadcast de SSID activado, cualquier
cliente inalámbrico puede detectar la red y conectarse a ella, si no existen otras
características de seguridad.

La función de broadcast de SSID puede desactivarse. Cuando está desactivada, ya no se

hace público el hecho de que existe una red. Cualquier computadora que intente
conectarse a una red debe conocer el SSID.

143
Además, es importante cambiar las configuraciones por defecto. Los dispositivos
inalámbricos se envían preconfigurados con SSID, contraseña y direcciones IP. Estos
valores por defecto facilitan la identificación y la infiltración en la red por parte de un
atacante.

Incluso con el broadcast de SSID desactivado se puede entrar a una red utilizando el
conocido SSID por defecto. Además, si otras configuraciones por defecto, como
contraseñas y direcciones IP, no se cambian, los atacantes pueden tener acceso a un AP
y hacer cambios por su cuenta. La información por defecto debe cambiarse por otra más
segura y exclusiva.

Estos cambios, por sí mismos, no protegerán su red. Por ejemplo: los SSID se transmiten
en texto sin cifrar. Existen dispositivos que interceptarán las señales inalámbricas y leerán
mensajes de texto sin cifrar. Incluso con el broadcast de SSID desactivado y los valores
por defecto cambiados, los atacantes pueden conocer el nombre de una red inalámbrica
mediante el uso de estos dispositivos que interceptan señales inalámbricas. Esta
información se utilizará para la conexión a la red. Para proteger la WLAN, se necesita una
combinación de varios métodos.

7.3.2 Limitación del acceso a una WLAN

Una manera de limitar el acceso a una red inalámbrica es controlar exactamente qué
dispositivos pueden obtener acceso a ella. Esto puede lograrse mediante el filtrado de la
dirección MAC.

Filtrado de dirección MAC

El filtrado de direcciones MAC utiliza la dirección MAC para identificar qué dispositivos
pueden conectarse a la red inalámbrica. Cuando un cliente inalámbrico intenta conectarse
o asociarse con un AP envia la información de la dirección MAC. Si está activado el
filtrado MAC, el router inalámbrico o el AP buscarán la dirección MAC en una lista
preconfigurada. Sólo los dispositivos con direcciones MAC pregrabadas en la base de
datos del router podrán conectase.

Si la dirección MAC no se encuentra en la base de datos, el dispositivo no podrá

conectarse ni comunicarse a través de la red inalámbrica.

144
Existen algunos problemas con este tipo de seguridad. Por ejemplo: requiere que se
incluyan en la base de datos las direcciones MAC de todos los dispositivos que tendrán
acceso a la red antes de que se intente la conexión. No podrá conectarse un dispositivo
que no esté identificado en la base de datos. Además, el dispositivo de un atacante puede
clonar la dirección MAC de otro dispositivo que tiene acceso.

7.3.3 Autenticación en una WLAN

Otra manera de controlar quién puede conectarse es implementar la autenticación. La

autenticación es el proceso de permitir la entrada a una red sobre la base de un conjunto
de credenciales. Se utiliza para verificar que el dispositivo que intenta conectarse a la red
sea confiable.

El uso de un nombre de usuario y una contraseña es la manera más común de

autenticación. En un entorno inalámbrico, la autenticación garantiza que el host conectado
se verifique, pero realiza el proceso de verificación de una manera un tanto diferente. La
autenticación, si está activada, debe producirse antes de que el cliente obtenga el permiso
para conectarse a la WLAN. Existen tres tipos de métodos de autenticación inalámbrica:
autenticación abierta, PSK y EAP.

Autenticación abierta

Por defecto, los dispositivos inalámbricos no requieren autenticación. Cualquier cliente

puede asociarse, independientemente de quién sea. Esto se denomina autenticación
abierta. La autenticación abierta sólo debe usarse en redes inalámbricas públicas, como
las encontradas en muchas escuelas y restaurantes. También puede usarse en redes
donde la autenticación se realiza por otros medios una vez que se conecta a la red.

145
Con las PSK, tanto el AP como el cliente deben configurarse con la misma clave o palabra
secreta. El AP envía una cadena de bytes aleatoria al cliente. El cliente acepta la cadena,
la encripta (o codifica) según la clave, y la envía nuevamente al AP. El AP recibe la
cadena encriptada y usa la clave para descifrarla (o decodificarla). Si la cadena descifrada
recibida del cliente coincide con la cadena original enviada al cliente, éste puede
conectarse.

La PSK realiza una autenticación de una vía, es decir, el host se autentica ante el AP. La
PSK no autentica el AP ante el host; tampoco autentica el usuario real del host.

Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol)

El EAP proporciona autenticación mutua, o de dos vías, además de la autenticación del

usuario. Cuando el software EAP se instala en el cliente, éste se comunica con un
servidor de autenticación de back-end, como el servicio de usuario de acceso telefónico
de autenticación remota (RADIUS, Remote Authentication Dial-in User Service). Este
servidor back-end funciona independientemente del AP y mantiene la base de datos de
usuarios válidos que pueden tener acceso a la red. Cuando se utiliza el EAP, el usuario
(no sólo el host) debe proporcionar un nombre de usuario y una contraseña, que se
comparan con la base de datos de RADIUS, para obtener la validación. Si son válidos, el
usuario obtiene la autenticación.

146
Una vez que se habilita la autenticación, independientemente del método utilizado, el
cliente debe pasar la autenticación correctamente antes de asociarse con el AP. Si se
habilitan la autenticación y el filtrado de la dirección MAC, la autenticación se produce
primero.

Una vez que la autenticación se realiza correctamente, el AP compara la dirección MAC

con la tabla de direcciones MAC. Una vez realizada la verificación, el AP agrega las
direcciones MAC del host a la tabla del host. En ese momento se dice que el cliente está
asociado con el AP y puede conectarse a la red.

7.3.4 Encriptación en una WLAN

La autenticación y el filtrado MAC pueden evitar que un atacante se conecte a una red
inalámbrica, pero no evitarán que intercepte los datos transmitidos. Dado que no existen
límites distintivos en una red inalámbrica y que el tráfico se transmite por aire, es fácil para
un atacante interceptar o detectar tramas inalámbricas. La encriptación es el proceso de
transformar datos de manera que, aunque sean interceptados, queden inutilizables.

Protocolo de equivalencia por cable (WEP, Wired Equivalency Protocol)

El protocolo de equivalencia por cable (WEP) es una característica avanzada de

seguridad que encripta el tráfico de la red a medida que éste se desplaza por el aire. El
WEP utiliza claves preconfiguradas para encriptar y descifrar datos.

147
Una clave WEP se introduce como una cadena de números y letras, y generalmente
consta de 64 ó 128 bits. En algunos casos, el WEP admite también claves de 256 bits.
Para simplificar la creación y la introducción de estas claves, muchos dispositivos incluyen
la opción por contraseña. La opción por contraseña es una fácil manera de recordar la
palabra o frase usada para generar automáticamente una clave.

A fin de que el WEP funcione, el AP (y cualquier otro dispositivo inalámbrico que tenga
habilitado el acceso a la red) deberá tener la misma clave WEP introducida. Sin esta clave,
los dispositivos no podrán comprender las transmisiones inalámbricas.

El WEP es una excelente manera de evitar que los atacantes intercepten datos. Sin
embargo, existen puntos débiles dentro del WEP, por ejemplo el uso de una clave estática
en todos los dispositivos con WEP habilitado. Existen aplicaciones disponibles que los
atacantes pueden utilizar para descubrir la clave WEP. Estas aplicaciones se encuentran
disponibles fácilmente en Internet. Una vez que el atacante ha extraído la clave, tiene
acceso completo a toda la información transmitida.

Una manera de superar este punto débil es cambiar la clave frecuentemente. Otra manera
es usar una forma de encriptación más avanzada y segura, conocida como acceso
protegido Wi-Fi (WPA, Wi-Fi Protected Access).

Acceso protegido Wi-Fi (WPA)

El WPA también utiliza claves de encriptación de 64 a 256 bits. Sin embargo, el WPA, a
diferencia del WEP, genera nuevas claves dinámicas cada vez que un cliente establece
una conexión con el AP. Por esta razón el WPA se considera más seguro que el WEP, ya
que es mucho más difícil de decodificar.

7.3.5 Filtrado de tráfico en una WLAN

Además de controlar quién puede obtener acceso a una WLAN y quién puede usar los
datos transmitidos, también es importante controlar los tipos de tráfico que se transmiten
en una WLAN. Esto se logra mediante el filtrado de tráfico.

El filtrado de tráfico bloquea el tráfico no deseado y evita que entre en la red inalámbrica o
salga de ella. El AP realiza el filtrado a medida que el tráfico pasa a través de él. Puede
utilizarse para eliminar el tráfico desde una dirección IP o MAC específica, o hacia ella.
También puede bloquear ciertas aplicaciones por número de puerto. Al quitar de la red el
tráfico no deseado y sospechoso, el ancho de banda se destina al movimiento de tráfico
importante y mejora el rendimiento de la WLAN. Por ejemplo: el filtrado de tráfico puede
utilizarse para bloquear todo el tráfico telnet destinado a una máquina en especial, como
el servidor de autenticación. Cualquier intento de hacer telnet al servidor de autenticación
se considerará sospechoso y se bloqueará.

148
7.4 Configuración de un AP integrado y cliente inalámbrico
7.4.1 Planificación de WLAN

Cuando se implementa una solución de red inalámbrica es importante planificar antes de

realizar cualquier instalación. Por ejemplo:
◊ Determinar el tipo de estándar inalámbrico que se utilizará
◊ Determinar la configuración de dispositivos más eficaz
◊ Realizar un plan de seguridad e instalación
◊ Planificar una estrategia para realizar copias de seguridad y actualizar el firmware
de los dispositivos inalámbricos.

Estándar inalámbrico

Se deben considerar varios factores a la hora de determinar qué estándar WLAN utilizar.
Los factores más comunes incluyen: requerimientos de ancho de banda, áreas de
cobertura, implementaciones existentes y costo. Esta información se reúne al determinar
los requerimientos del usuario final.

La mejor manera de conocer los requerimientos del usuario final es realizar preguntas.
◊ ¿Qué rendimiento requieren actualmente las aplicaciones que se ejecutan en la
red?
◊ ¿Cuántos usuarios tendrán acceso a la WLAN?
◊ ¿Cuál es el área de cobertura necesaria?
◊ ¿Qué es la estructura de red existente?
◊ ¿Cuál es el presupuesto?

El ancho de banda disponible en el BSS debe compartirse entre todos los usuarios de ese
BSS. Incluso si las aplicaciones no requieren una conexión de alta velocidad, puede ser
necesaria una tecnología de mayor velocidad si varios usuarios se conectan al mismo
tiempo.

Distintos estándares admiten diferentes áreas de cobertura. La señal de 2,4 GHz usada
en las tecnologías 802.11 b/g/n viaja una distancia mayor que la señal de 5 GHz usada en
las tecnologías 802.11a. Por lo tanto, 802.11 b/g/n admite un BSS mayor. Esto se traduce
en menos equipos y un costo de implementación menor.

149
La red existente también afecta la nueva implementación de los estándares WLAN. Por
ejemplo: el estándar 802.11n es compatible con 802.11g y 802.11b, pero no con 802.11a.
Si el equipo y la infraestructura de red existentes admiten 802.11a, las nuevas
implementaciones deben admitir el mismo estándar.

El costo también es un factor determinante. A la hora de considerar los costos, tenga en

cuenta el costo total de propiedad (TCO, Total Cost of Ownership), que incluye la compra
de equipo, además de los costos de instalación y soporte. El TCO es más importante para
la elección del estándar WLAN en los entornos de empresas medianas a grandes que en
los entornos domésticos. Esto se debe a que en las empresas medianas a grandes se
necesitan más equipos y planes de instalación, lo que aumenta el costo.

Instalación de dispositivos inalámbricos

Para entornos domésticos o para pequeñas empresas la instalación usualmente consta

de una cantidad limitada de equipo que puede reubicarse fácilmente para proporcionar
coberturas y rendimientos óptimos.

En el entorno empresarial el equipo no puede reubicarse fácilmente y la cobertura debe

ser completa. Es importante determinar la ubicación y el número óptimos de los AP para
proporcionar esta cobertura al menor costo posible.

Para lograrlo, se realiza generalmente un relevamiento del sitio. La persona responsable

del relevamiento del sitio debe ser un experto en el diseño de WLAN y debe contar con
equipo sofisticado para medir la potencia de la señal y la interferencia. Según el tamaño
de la implementación WLAN, éste puede ser un proceso muy costoso. Para las
implementaciones pequeñas se realiza generalmente un relevamiento del sitio mediante
el solo uso de STA inalámbricas y de los programas de utilidades que se incluyen en la
mayoría de las NIC inalámbricas.

En todos los casos es necesario considerar fuentes conocidas de interferencia, como los
cables de alto voltaje, los motores y otros dispositivos inalámbricos, en el momento de
determinar la ubicación del equipo WLAN.

7.4.2 Instalación y seguridad del AP

Una vez que determine la mejor tecnología y la ubicación del AP, instale el dispositivo
WLAN y configure el AP con medidas de seguridad. Las medidas de seguridad deben
planificarse y configurarse antes de conectar el AP a la red o al ISP.

Algunas de las medidas de seguridad más básicas son:

◊ Cambio de los valores por defecto para el SSID, los nombres de usuario y las
contraseñas.
◊ Desactivación de la transmisión SSID.
◊ Configuración del filtrado de dirección MAC.

Algunas de las medidas de seguridad más avanzadas son:

◊ Configuración de encriptación mediante WEP o WPA.
◊ Configuración de autenticación.

150
 ◊ Configuración de filtrado de tráfico.

Tenga en cuenta que ninguna medida de seguridad por sí sola mantendrá la red
inalámbrica completamente segura. La combinación de varias técnicas reforzará la
integridad del plan de seguridad.

A la hora de configurar los clientes, es fundamental que el SSID coincida con el SSID
configurado en el AP. Además, las claves de encriptación y autenticación también deben
coincidir.

7.4.3 Creación de copias de seguridad y restauración de archivos de

configuración

Copias de seguridad de configuración

Una vez que la red inalámbrica está configurada correctamente y exista tráfico, se debe
realizar una copia de seguridad de la configuración en los dispositivos inalámbricos. Esto
es muy importante si la configuración está muy personalizada.

Ya que la mayoría de los routers integrados está diseñada para los mercados domésticos
y para pequeñas empresas, solamente es necesario seleccionar la opción Backup
Configurations desde el menú correspondiente y especificar la ubicación donde debe
guardarse el archivo. El router integrado proporciona un nombre por defecto para el
archivo de configuración. Este nombre de archivo puede cambiarse.

El proceso de restauración también es así de simple. Seleccione la opción Restore

Configurations. Luego, simplemente busque la ubicación donde se guardó anteriormente
el archivo de configuración y selecciónelo. Una vez seleccionado el archivo, haga clic en
Start to Restore para cargar el archivo de configuración.

A veces es necesario regresar las configuraciones a las condiciones por defecto de

fábrica. Para lograrlo, seleccione la opción Restore Factory Defaults del menú
correspondiente o presione y mantenga presionado el botón RESTABLECER durante 30
segundos. La última técnica resultará especialmente útil si no puede conectarse al AP del
router integrado a través de la red pero tiene acceso físico al dispositivo.

151
7.4.4 Actualización del firmaware

Actualización del firmware

El sistema operativo en la mayoría de los routers integrados se almacena en el firmware.

A medida que se desarrollen nuevas características o se descubran problemas con el
firmware existente, tal vez sea necesario actualizar el firmware del dispositivo.

El proceso de actualización del firmware en un router integrado, como el router

inalámbrico de Linksys, es simple. Sin embargo, es importante que una vez iniciado este
proceso no se interrumpa. Si el proceso de actualización se interrumpe antes de
completarse el dispositivo puede quedar inutilizable.

Determine la versión de firmware instalada actualmente en el dispositivo. Esta información

se muestra generalmente en la pantalla de configuración o en la pantalla de estado de
conexión. A continuación, busque en Internet el sitio Web del fabricante y los grupos de
noticias relacionados para descubrir el conjunto de características del firmware, los
problemas que requieren una actualización y si existen actualizaciones disponibles.

Descargue la versión actualizada del firmware y almacénela en el disco duro de un

dispositivo que pueda conectarse directamente al router integrado. Es conveniente que la
máquina esté conectada directamente con un cable al router integrado para evitar que la
conexión inalámbrica provoque una interrupción en el proceso de actualización.

Seleccione la característica Firmware Upgrade en la GUI. Navegue hasta el archivo

apropiado del dispositivo conectado directamente y comience la actualización.

152
Capítulo 8. Seguridad básica
8.1 Amenazas de red
8.1.1 Riesgos de intrusiones en la red

Sin importar si están conectadas por cable o de manera inalámbrica, las redes de
computadoras cada vez se tornan más esenciales para las actividades diarias. Tanto las
personas como las organizaciones dependen de sus computadores y de las redes para
funciones como correo electrónico, contabilidad, organización y administración de
archivos. Las intrusiones de personas no autorizadas pueden causar interrupciones
costosas en la red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores
y pueden causar pérdida de tiempo y de dinero debido a los daños o robos de información
o de activos importantes.

Los intrusos pueden obtener acceso a la red a través de vulnerabilidades del software,
ataques al hardware o incluso a través de métodos menos tecnológicos, como el de
adivinar el nombre de usuario y la contraseña de una persona. Por lo general, a los
intrusos que obtienen acceso mediante la modificación del software o la explotación de las
vulnerabilidades del software se los denomina piratas informáticos.

Una vez que el pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de
amenazas:
◊ Robo de información
◊ Robo de identidad
◊ Pérdida/manipulación de datos
◊ Interrupción del servicio

8.1.2 Orígenes de las instrucciones en la red

Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en
forma interna como externa.

153
Amenazas externas

Las amenazas externas provienen de personas que trabajan fuera de una organización.
Estas personas no tienen autorización para acceder al sistema o a la red de la
computadora. Los atacantes externos logran ingresar a la red principalmente desde
Internet, enlaces inalámbricos o servidores de acceso dial-up.

Amenazas internas

Las amenazas internas se originan cuando una persona cuenta con acceso autorizado a
la red a través de una cuenta de usuario o tiene acceso físico al equipo de la red. Un
atacante interno conoce la política interna y las personas. Por lo general, conocen
información valiosa y vulnerable y saben cómo acceder a ésta.

Sin embargo, no todos los ataques internos son intencionales. En algunos casos la
amenaza interna puede provenir de un empleado confiable que capta un virus o una
amenaza de seguridad mientras se encuentra fuera de la compañía y, sin saberlo, lo lleva
a la red interna.

La mayor parte de las compañías invierte recursos considerables para defenderse contra
los ataques externos; sin embargo, la mayor parte de las amenazas son de origen interno.
De acuerdo con el FBI, el acceso interno y la mala utilización de los sistemas de
computación representan aproximadamente el 70% de los incidentes de violación de
seguridad notificados.

8.1.3 Ingeniería social y suplantación de identidad

Para un intruso, una de las formas más fáciles de obtener acceso, ya sea interno o
externo, es el aprovechamiento de las conductas humanas. Uno de los métodos más
comunes de explotación de las debilidades humanas se denomina ingeniería social.

Ingeniería social

Ingeniería social es un término que hace referencia a la capacidad de algo o alguien para
influenciar la conducta de un grupo de personas. En el contexto de la seguridad de
computadores y redes, la ingeniería social hace referencia a una serie de técnicas

154
utilizadas para engañar a los usuarios internos a fin de que realicen acciones específicas
o revelen información confidencial.

A través de estas técnicas, el atacante se aprovecha de usuarios legítimos desprevenidos

para obtener acceso a los recursos internos y a información privada, como números de
cuentas bancarias o contraseñas.

Los ataques de ingeniería social aprovechan el hecho de que a los usuarios generalmente
se los considera uno de los enlaces más débiles en lo que se refiere a la seguridad. Los
ingenieros sociales pueden ser internos o externos a la organización; sin embargo, por lo
general no conocen a sus víctimas cara a cara.

Tres de las técnicas más comúnmente utilizadas en la ingeniería social son: pretextar,
suplantación de identidad y vishing.

Pretextar

El pretexto es una forma de ingeniería social en la que se utiliza una situación inventada
(el pretexto) para que una víctima divulgue información o lleve a cabo una acción.
Generalmente, el contacto con el objetivo se establece telefónicamente. Para que el
pretexto sea efectivo el atacante deberá establecer la legitimidad con la víctima o el
objetivo deseado. Esto requiere, por lo general, que el atacante cuente con conocimientos
o investigaciones previas. Por ejemplo: si el atacante conoce el número de seguro social
del objetivo, puede utilizar esta información para ganar la confianza de su objetivo. De
esta manera es más probable que el objetivo divulgue información.

Suplantación de identidad

La suplantación de identidad es una forma de ingeniería social en la que el estafador

pretende representar a una organización externa legítima. Generalmente se pone en
contacto con el objetivo (el estafado) mediante correo electrónico. El estafador puede
solicitar la verificación de información, como contraseñas o nombres de usuario, a fin de
evitar consecuencias terribles.

Vishing/suplantación de identidad telefónica

El vishing es una nueva forma de ingeniería social que utiliza el sistema de voz sobre IP
(VOIP). Con el vishing, un usuario desprevenido recibe un correo de voz donde se le
solicita que llame a un número telefónico que parece ser un servicio de banca telefónica
legítimo. A continuación, la llamada es interceptada por un ladrón. De esta forma se roban
los números de cuentas bancarias o las contraseñas introducidas telefónicamente para
verificación.

155
8.2 Métodos de ataque

8.2.1 Virus, gusanos y caballos de Troya

La ingeniería social es una amenaza de seguridad común que se basa en la debilidad

humana para obtener los resultados deseados.

Además de la ingeniería social, existen otros tipos de ataques que explotan las
vulnerabilidades de los software de computadoras. Algunos ejemplos de técnicas de
ataque son: virus, gusanos y caballos de Troya Todos estos son tipos de software
maliciosos que se introducen en un host. Pueden dañar un sistema, destruir datos y
también denegar el acceso a redes, sistemas o servicios. También pueden enviar datos y
detalles personales de usuarios de PC desprevenidos a delincuentes. En muchos casos,
pueden replicarse y propagarse a otros hosts conectados a la red.

En algunas ocasiones estas técnicas se utilizan en combinación con la ingeniería social

para engañar a un usuario desprevenido a fin de llevar a cabo el ataque.

Virus

Un virus es un programa que se ejecuta y se propaga al modificar otros programas o

archivos. Un virus no puede iniciarse por sí mismo, sino que debe ser activado. Una vez
que está activado, un virus no puede hacer más que replicarse y propagarse. A pesar de
ser simple, hasta este tipo de virus es peligroso, ya que puede utilizar rápidamente toda la
memoria disponible e interrumpir completamente el sistema. Un virus más peligroso
puede estar programado para borrar o dañar archivos específicos antes de propagarse.
Los virus pueden transmitirse mediante documentos adjuntos a correos electrónicos,
archivos descargados, mensajes instantáneos, disquetes, CD o dispositivos USB.

Gusanos

Un gusano es similar a un virus pero, a diferencia de éste, no necesita adjuntarse a un

programa existente. Un gusano utiliza la red para enviar copias de sí mismo a cualquier
host conectado. Un gusano puede ejecutarse independientemente y propagarse
rápidamente. No requieren necesariamente activación o intervención humana. Los
gusanos que se propagan por sí mismos por la red pueden tener un impacto mucho
mayor que un simple virus y pueden infectar rápidamente grandes partes de Internet.

Caballos de Troya

Un caballo de Troya es un programa que no se replica por sí mismo y que se escribe para
asemejarse a un programa legítimo, cuando en realidad se trata de una herramienta de
ataque. Un caballo de Troya se basa en su apariencia legítima para engañar a una victima
a fin de que inicie el programa. Puede ser relativamente inofensivo o contener códigos
que pueden dañar el contenido del disco duro de la computadora. Los troyanos también
pueden crear una puerta trasera en un sistema para permitir que los piratas informáticos
obtengan acceso.

156
8.2.2 Denegación de servicio y ataques de fuerza

Por lo general, el objetivo de un atacante es interrumpir el funcionamiento normal de una

red. Este tipo de ataque a menudo se lleva a cabo con el fin de interrumpir el
funcionamiento de una organización.

Denegación de servicio (DoS)

Los ataques DoS son ataques agresivos sobre una computadora personal o un grupo de
computadoras con el fin de denegar el servicio a los usuarios a quienes está dirigido. Los
ataques DoS tienen como objetivo sistemas de usuarios finales, servidores, routers y
enlaces de red.

En general, los ataques DoS tienen como fin:

Inundar un sistema o una red con tráfico a fin de evitar que el tráfico de red legítimo fluya.
Interrumpir las conexiones entre un cliente y un servidor para evitar el acceso al servicio.

Existen varios tipos de ataques DoS. Los administradores de redes deben estar al tanto
de los tipos de ataques DoS que se pueden producir a fin de asegurarse de que sus redes
estén protegidas. Dos tipos comunes de ataques DoS son:

Flooding SYN (sincrónica): se envía una gran cantidad de paquetes a un servidor, para
solicitar una conexión de cliente. Los paquetes contienen direcciones IP de origen no
válidas. El servidor se ocupa de responder a estas solicitudes falsas y, por lo tanto, no
puede responder a las solicitudes legítimas.

Ping of death: se envía a un dispositivo un paquete con un tamaño mayor que el máximo
permitido por el IP (65 535 bytes). Esto puede hacer que el sistema receptor colapse.

Denegación de servicio distribuida (DDoS)

La DDoS es una forma de ataque DoS más sofisticada y potencialmente más perjudicial.
Está diseñada para saturar y sobrecargar los enlaces de red con datos inútiles. Los
ataques DDoS operan en una escala mucho mayor que los ataques DoS. Generalmente,
cientos o miles de puntos de ataque intentan saturar un objetivo al mismo tiempo. Los
puntos de ataque pueden ser computadoras inadvertidas que ya hayan sido infectadas
por el código DDoS. Cuando son invocados, los sistemas infectados con el código DDoS
atacan el sitio del objetivo.

Fuerza bruta

No todos los ataques que provocan interrupciones en la red son ataques DoS específicos.
Un ataque de fuerza bruta es otro tipo de ataque que puede causar la denegación de
servicio.

En los ataques de fuerza bruta se utiliza una computadora veloz para tratar de adivinar
contraseñas o para descifrar un código de encriptación. El atacante prueba una gran
cantidad de posibilidades de manera rápida y sucesiva para obtener acceso o descifrar el
código. Los ataques de fuerza bruta pueden causar una denegación de servicio debido al
tráfico excesivo hacia un recurso específico o al bloqueo de las cuentas de usuario.

157
8.2.3 Spyware, cookies de seguimiento, adwara y elementos emergentes

No todos los ataques causan daños o evitan que los usuarios legítimos tengan acceso a
los recursos. Muchas amenazas están diseñadas para recopilar información acerca de los
usuarios que, a su vez, puede utilizarse con fines de publicidad, comercialización e
investigación. Algunas de estas amenazas son el spyware, las cookies de seguimiento, el
adware y los elementos emergentes. Si bien es posible que éstos no dañen la
computadora, sí pueden invadir la privacidad y generar molestias.

Spyware

El spyware es cualquier programa que reúne información personal de su computadora sin

su permiso o conocimiento. Esta información se envía a los anunciantes u otros usuarios
de Internet y puede incluir contraseñas y números de cuentas.

Generalmente, el spyware se instala de manera inadvertida al descargar un archivo,

instalar otro programa o hacer clic en un elemento emergente. Puede disminuir la
velocidad de una computadora y realizar cambios a las configuraciones internas, y
también crear más vulnerabilidades para otras amenazas. Además, el spyware puede ser
muy difícil de eliminar.

Cookies de seguimiento

Las cookies son un tipo de spyware, pero no siempre son perjudiciales. Se utilizan para
registrar información de los usuarios de Internet cuando visitan sitios Web. Las cookies
pueden ser útiles o convenientes, ya que permiten la personalización y otras técnicas que
ahorran tiempo. Muchos sitios Web requieren que las cookies estén habilitadas para que
el usuario pueda conectarse.

Adware

El adware es una forma de spyware utilizada para recopilar información acerca de un

usuario, de acuerdo con los sitios Web que éste visita. A continuación, esta información
se utiliza para publicidad orientada a un usuario en particular. Generalmente, el usuario
instala el adware a cambio de un producto "gratuito". Cuando un usuario abre una
ventana del explorador, el adware puede iniciar nuevas ventanas que intentan publicitar
productos o servicios de acuerdo con las prácticas de navegación del usuario. Las
ventanas no deseadas del explorador pueden abrirse repetidamente y pueden dificultar
mucho la navegación por Internet, en especial en las conexiones de Internet más lentas.
El adware puede ser muy difícil de desinstalar.

Elementos emergentes y ventanas pop-under

Los elementos emergentes y las ventanas pop-under son ventanas de publicidad

adicionales que aparecen cuando se visita un sitio Web. A diferencia del adware, los
elementos emergentes y las ventanas pop-under no están diseñados para recopilar
información acerca del usuario y generalmente sólo se asocian con el sitio que se visita.
Elementos emergentes: se abren delante de la ventana actual del explorador.
Ventanas pop-under: se abren detrás de la ventana actual del explorador.

Pueden ser molestas y, por lo general, publicitan productos o servicios no deseables.

158
8.2.4 Correo no deseado

Otro de los molestos productos derivados de nuestra confianza cada vez mayor en las
comunicaciones electrónicas es el tráfico de correo electrónico no deseado. En algunas
ocasiones, los comerciantes no desean perder tiempo con el marketing orientado. Desean
enviar sus publicidades por correo electrónico a tantos usuarios finales como sea posible,
con la esperanza de que alguien se interese en su producto o servicio. Este enfoque de
marketing de amplia distribución en Internet se conoce como correo no deseado.

El correo no deseado es una amenaza seria para las redes, ya que puede sobrecargar los
ISP, los servidores de correo electrónico y los sistemas individuales de usuario final. A la
persona u organización responsable de enviar el correo no deseado se la denomina
spammer. Para enviar el correo electrónico los spammers utilizan, por lo general, los
servidores de correo electrónico que no están protegidos por contraseña. Los spammers
pueden utilizar técnicas de pirateo informático, como virus, gusanos y caballos de Troya
para tomar control de las computadoras domésticas. A continuación, estas computadoras
se utilizan para enviar correo no deseado sin conocimiento del propietario. El correo no
deseado puede enviarse por correo electrónico o, más recientemente, por medio de
software de mensajería instantánea.

Se calcula que cada usuario de Internet recibe más de 3000 correos no deseados en un
año. El correo no deseado consume grandes cantidades de ancho de banda de Internet y
es un problema tan serio que algunos países ya tienen leyes que regulan su uso.

8.3 Política de seguridad

8.3.1 Medidas de seguridad comunes

No se pueden eliminar o evitar completamente los riesgos de seguridad. Sin embargo,

tanto la administración como la evaluación efectiva de riesgos pueden minimizar
significativamente los riesgos de seguridad existentes. Para minimizar los riesgos es
importante comprender que no existe un único producto que pueda asegurar una
organización. La verdadera seguridad de redes proviene de una combinación de
productos y servicios junto con una política de seguridad exhaustiva y un compromiso de
respetar esa política.

Una política de seguridad es una declaración formal de las normas que los usuarios
deben respetar a fin de acceder a los bienes de tecnología e información. Puede ser tan
simple como una política de uso aceptable o contener muchas páginas y detallar cada
aspecto de conectividad de los usuarios, así como los procedimientos de uso de redes. La
política de seguridad debe ser el punto central acerca de la forma en la que se protege, se
supervisa, se evalúa y se mejora una red. Mientras que la mayoría de los usuarios
domésticos no tiene una política de seguridad formal por escrito, a medida que una red
crece en tamaño y en alcance, la importancia de una política de seguridad definida para
todos los usuarios aumenta drásticamente. Algunos de los puntos que deben incluirse en
una política de seguridad son: políticas de identificación y autenticación, políticas de
contraseñas, políticas de uso aceptable, políticas de acceso remoto y procedimientos para
el manejo de incidentes.

159
Cuando se desarrolla una política de seguridad es necesario que todos los usuarios de la
red la cumplan y la sigan para que sea efectiva.

La política de seguridad debe ser el punto central acerca de la forma en la que se protege,
se supervisa, se evalúa y se mejora una red. Los procedimientos de seguridad
implementan políticas de seguridad. Los procedimientos definen la configuración, el inicio
de sesión, la auditoría y los procesos de mantenimiento de los hosts y dispositivos de red.
Incluyen la utilización tanto de medidas preventivas para reducir el riesgo como de
medidas activas acerca de la forma de manejar las amenazas de seguridad conocidas.
Los procedimientos de seguridad abarcan desde tareas simples y poco costosas, como el
mantenimiento de las versiones actualizadas de software, hasta implementaciones
complejas de firewalls y sistemas de detección de intrusiones.

Algunas de las herramientas y aplicaciones de seguridad utilizadas en la protección de

redes incluyen:

160
 ◊ Parches y actualizaciones de software
◊ Protección contra virus
◊ Protección contra spyware
◊ Bloqueadores de correo no deseado
◊ Bloqueadores de elementos emergentes
◊ Firewalls

8.3.2 Parches y actualizaciones

Uno de los métodos más comunes que utiliza un pirata informático para obtener acceso a
los hosts y/o a las redes es atacar las vulnerabilidades del software. Es importante
mantener las aplicaciones de software actualizadas con los últimos parches y
actualizaciones de seguridad a fin de ayudar a evitar las amenazas. Un parche es un
pequeño código que corrige un problema específico. Por otro lado, una actualización
puede incluir funciones adicionales al paquete de software y también parches para
problemas específicos.

Los proveedores de SO (sistemas operativos, como Linux, Windows, etc.) y aplicaciones

proporcionan continuamente actualizaciones y parches de seguridad que pueden corregir
vulnerabilidades conocidas del software. Además, los proveedores lanzan, por lo general,
conjuntos de parches y actualizaciones, conocidos como paquetes de servicios.
Afortunadamente, muchos sistemas operativos ofrecen una función de actualización
automática que permite que las actualizaciones de SO y las aplicaciones se descarguen e
instalen automáticamente en un host.

8.3.3 Software antivirus

Software antivirus (detección de virus)

Aun cuando los SO y las aplicaciones tengan todos los parches y actualizaciones actuales,
pueden seguir siendo vulnerables a ataques. Todo dispositivo conectado a una red es
vulnerable a virus, gusanos y caballos de Troya. Éstos pueden utilizarse para dañar el
código del SO, afectar el rendimiento de una computadora, alterar las aplicaciones y
destruir los datos.

Éstos son algunos indicadores de la presencia de un virus, gusano o caballo de Troya:

◊ La computadora comienza a actuar de forma anormal.
◊ Los programas no responden al mouse y a las combinaciones de teclas.
◊ Los programas se inician o se apagan por sí solos.
◊ El programa de correo electrónico comienza a enviar grandes cantidades de
correos.
◊ Se utiliza demasiado la CPU
◊ Se ejecuta una gran cantidad de procesos, ya sean conocidos o no identificables.
◊ La computadora funciona mucho más lentamente o deja de funcionar

161
Software antivirus

El software antivirus puede utilizarse como herramienta preventiva o reactiva. Previene las
infecciones y detecta y elimina virus, gusanos y caballos de Troya. El software antivirus
debe estar instalado en todas las computadoras conectadas a la red. Existen muchos
programas antivirus disponibles.

Algunas de las funciones que pueden incluirse en los programas antivirus son:
Verificación de correo electrónico: escanea los correos electrónicos entrantes y salientes
e identifica los archivos adjuntos sospechosos.
Escaneo dinámico de residentes: verifica los archivos y documentos ejecutables cuando
se accede a éstos.
Escaneos programados: es posible programar escaneos de virus para que se ejecuten a
intervalos regulares y verificar controladores específicos o toda la computadora.
Actualizaciones automáticas: verifican y descargan características y patrones de virus
conocidos. Se pueden programar para efectuar una verificación regular de actualizaciones.

El software antivirus depende del conocimiento del virus para poder eliminarlo. Por lo
tanto, cuando se identifica, es importante notificar al administrador de red acerca del virus
o de cualquier comportamiento que se asemeje a un virus. Generalmente, esto se lleva a
cabo al enviar un informe de incidentes de acuerdo con la política de seguridad de redes
de la empresa.

Los administradores de red también pueden informar a la agencia de gobierno local

encargada de los problemas de seguridad acerca de los nuevos casos de amenazas. Por
ejemplo: el sitio Web de una de las agencias de los Estados Unidos es: https://forms.us-
cert.gov/report/. Esta agencia se encarga de desarrollar medidas que permitan
contrarrestar las nuevas amenazas de virus y también asegurar que estas medidas estén
disponibles para los diferentes desarrolladores de software antivirus.

8.3.4 Software contra correo no deseado

El correo no deseado no sólo es molesto, sino que también puede sobrecargar los
servidores de correo electrónico y potencialmente transportar virus y otras amenazas de
seguridad. Asimismo, los spammers toman control de un host al implementar un código
en forma de virus o caballo de Troya. Posteriormente, el host se utiliza para enviar correo
no deseado sin el conocimiento del usuario. Una computadora infectada de esta forma se
conoce como fábrica de correo no deseado.

El software contra correo no deseado protege a los hosts al identificar el correo no

deseado y llevar a cabo una acción, como colocarlo en la carpetas de correo no deseado
o borrarlo. Puede cargarse localmente en un máquina, pero también puede cargarse en
los servidores de correo electrónico. Además, muchos ISP ofrecen filtros de correo no
deseado. El software contra correo no deseado no reconoce todo el correo no deseado,
por lo que es importante tener cuidado al abrir los correos electrónicos. También puede
identificar accidentalmente correo deseado como correo no deseado y tratarlo de la
misma forma.

Además de utilizar bloqueadores de correo no deseado, algunas otras acciones

preventivas para evitar la propagación de correo no deseado son:

162
 ◊ Aplicar actualizaciones de SO y aplicaciones cuando estén disponibles.
◊ Ejecutar los programas antivirus regularmente para mantenerlos actualizados.
◊ No reenviar correos electrónicos sospechosos.
◊ No abrir archivos adjuntos de correos electrónicos, en especial de personas
desconocidas.
◊ Establecer reglas en el correo electrónico para borrar el correo no deseado que
logre ignorar al software contra correo no deseado.
◊ Identificar las fuentes de correo no deseado y notificarlas al administrador de red
para que puedan bloquearse.
◊ Notificar incidentes a la agencia gubernamental que se ocupa del abuso del correo
no deseado.

Uno de los tipos más comunes de correo no deseado enviado son las advertencias contra
virus. Si bien algunas advertencias contra virus enviadas por correo electrónico son reales,
una gran cantidad de ellas no es cierta y no existe realmente. Este tipo de correo no
deseado puede ocasionar problemas, ya que las personas le advierten a otras acerca de
los probables desastres, y de esta manera inundan el sistema de correos electrónicos.
Además, los administradores de redes pueden exagerar y perder tiempo investigando un
problema que no existe. Finalmente, muchos de estos correos electrónicos, en realidad,
pueden contribuir a la propagación de virus, gusanos y caballos de Troya. Antes de
reenviar correos electrónicos sobre advertencia contra virus, verifique en una fuente
confiable que el virus sea real. Algunas fuentes son: http://vil.mcafee.com/hoax.asp o
http://hoaxbusters.ciac.org/

8.3.5 Antispyware

Antispyware y adware

El spyware y el adware también pueden causar síntomas similares a los de los virus.
Además de recopilar información no autorizada, pueden utilizar recursos importantes de la
computadora y afectar el rendimiento. El software antispyware detecta y elimina las
aplicaciones de spyware y también evita las instalaciones futuras. Muchas aplicaciones
antispyware también incluyen la detección y la eliminación de cookies y adware. Algunos
paquetes antivirus incluyen funciones antispyware.

Bloqueadores de elementos emergentes

El software bloqueador de elementos emergentes puede instalarse para evitar los

elementos emergentes y las ventanas pop-under. Muchos exploradores Web incluyen, por
defecto, una función bloqueadora de elementos emergentes. Tenga en cuenta que
algunos programas y páginas Web crean elementos emergentes necesarios y
convenientes. La mayoría de los bloqueadores de elementos emergentes ofrece una
función de invalidación para este fin.

163
8.4 Uso de firewalls
8.4.1 ¿Qué es un firewall?

Además de proteger las computadoras y servidores individuales conectados a la red, es

importante controlar el tráfico de entrada y de salida de la red.

El firewall es una de las herramientas de seguridad más efectivas y disponibles para la

protección de los usuarios internos de la red contra las amenazas externas. El firewall
reside entre dos o más redes y controla el tráfico entre ellas; de este modo, ayuda a
prevenir el acceso sin autorización. Los productos de firewall usan diferentes técnicas
para determinar qué acceso permitir y qué acceso denegar en una red.
Filtrado de paquetes: evita o permite el acceso de acuerdo con las direcciones IP o MAC.
Filtrado de aplicaciones y sitios Web: evita o permite el acceso de acuerdo con la
aplicación. Se puede bloquear un sitio Web al especificar la dirección URL del sitio o
algunas palabras clave.
Inspección de paquetes con estado (SPI): los paquetes entrantes deben ser respuestas
legítimas de los hosts internos. Los paquetes no solicitados son bloqueados, a menos que
se permitan específicamente. La SPI también puede incluir la capacidad de reconocer y
filtrar tipos específicos de ataques, como los ataques DoS.

Los productos de firewall pueden admitir una o más de estas capacidades de filtrado.
Además, los firewalls llevan a cabo, por lo general, traducción de direcciones de red
(NAT). NAT traduce una dirección interna o un grupo de direcciones en una dirección
pública y externa que se envía a través de la red. Esto permite ocultar las direcciones IP
internas de los usuarios externos.

Los productos de firewall se suministran de varias formas:

164
 ◊ Firewalls basados en aplicaciones: un firewall basado en una aplicación es un
firewall incorporado en un dispositivo de hardware dedicado, conocido como una
aplicación de seguridad.
◊ Firewalls basados en servidores: un firewall basado en servidores consta de una
aplicación de firewall que se ejecuta en un sistema operativo de red (NOS), como
UNIX, Windows o Novell.
◊ Firewalls integrados: se implementa un firewall integrado al añadir funcionalidades
de hardware en un dispositivo existente, como un router.
◊ Firewalls personales: los firewalls personales residen en las computadoras host y
no están diseñados para implementaciones LAN. Pueden estar disponibles por
defecto en el SO o pueden ser instalados por un proveedor externo.

8.4.2 Utilización de un firewall

Al colocar el firewall entre la red interna (intranet) e Internet como un dispositivo de

frontera, se puede supervisar y controlar todo el tráfico de entrada y salida de Internet.
Esto crea una clara línea de defensa entre la red interna y la externa. Sin embargo,
existen algunos clientes externos que requieren acceso a los recursos internos. Se puede
configurar una zona desmilitarizada (DMZ) para lograr esto.

El término zona desmilitarizada se adquiere de la terminología militar, donde una DMZ es

una zona designada entre dos potencias, en la que la actividad militar no está permitida.
En el ámbito de las redes de computadoras, una DMZ hace referencia a un área de la red
que es accesible tanto para los usuarios internos como para los externos. Es más segura
que la red externa, pero no tan segura como la red interna. Se crea a través de uno o más
firewalls para separar las redes internas, externas o DMZ. Normalmente, en una DMZ se
colocan servidores Web para acceso público.

Configuración de un solo firewall

Un solo firewall tiene tres áreas, una para la red externa, una para la red interna y otra
para la DMZ. Desde la red externa se envía todo el tráfico al firewall. A continuación, se
requiere el firewall para supervisar el tráfico y determinar qué tráfico debe pasar a la DMZ,
qué tráfico debe pasar internamente y qué tráfico debe denegarse por completo.

165
Configuración de dos firewalls

En una configuración de dos firewalls hay un firewall interno y uno externo, con una DMZ
ubicada entre ellos. El firewall externo es menos restrictivo y permite al usuario de Internet
acceder a los servicios en la DMZ; además, concede al usuario externo cualquier solicitud
de atravesar el tráfico. El firewall interno es más restrictivo y protege la red interna contra
el acceso no autorizado.

Una configuración de un solo firewall es apropiada para las redes más pequeñas y menos
congestionadas. Sin embargo, una configuración de un solo firewall tiene un único punto
de falla y puede sobrecargarse. Una configuración de dos firewalls es más adecuada para
redes más grandes y complejas que manejan mucho más tráfico.

Por lo general, muchos dispositivos de redes domésticas, como los routers integrados,
incluyen un software de firewall multifunción. Este firewall proporciona, comúnmente,
traducción de direcciones de red (NAT); inspección de paquetes con estado (SPI);
funciones de filtrado de IP, de aplicaciones y de sitios Web. También admite funciones de
DMZ.

Con el router integrado se puede configurar una DMZ simple que permita a los hosts
externos acceder al servidor interno. Para lograr esto el servidor requiere una dirección IP
estática que debe especificarse en la configuración DMZ. El router integrado identifica el
tráfico destinado a la dirección IP especificada. Posteriormente este tráfico se envía
solamente al puerto del switch donde está conectado el servidor. Todos los demás hosts
siguen protegidos por el firewall.

Cuando se habilita la DMZ, en su forma más simple, los hosts externos pueden acceder a
todos los puertos del servidor, como 80 (HTTP), 21 (FTP) y 110 (correo electrónico POP3),
etc.

Se puede configurar una DMZ más restrictiva mediante la capacidad de reenvío de los
puertos. Mediante el reenvío de puertos se especifican los puertos que deben estar
accesibles en el servidor. En este caso, sólo el tráfico destinado a estos puertos está
permitido, y todo el tráfico restante se excluye.

El punto de acceso inalámbrico dentro del router integrado se considera parte de la red
interna. Es importante notar que si el punto de acceso inalámbrico no está protegido por
una contraseña, toda persona que se conecte a ese acceso se encontrará dentro de la

166
parte protegida de la red interna y detrás del firewall. Los piratas informáticos pueden
utilizar esto para obtener acceso a la red interna e ignorar completamente toda la
seguridad.

8.4.3 Análisis de vulnerabilidad

Existen muchas herramientas de análisis de vulnerabilidad para evaluar la seguridad de

los hosts y de la red. Estas herramientas se conocen como escáneres de seguridad y
pueden ayudar a identificar áreas donde es posible que se produzcan ataques; además
de brindar asistencia acerca de las medidas que se pueden tomar. Si bien las
capacidades de las herramientas de análisis de vulnerabilidad pueden variar de acuerdo
con el fabricante, algunas de las funciones más comunes incluyen la determinación de:
◊ La cantidad de hosts disponibles en la red
◊ Los servicios que los hosts ofrecen
◊ El sistema operativo y las versiones de los hosts
◊ Los filtros de paquetes y firewalls en uso

8.4.4 Optimizaciones

Existen varias prácticas recomendadas para ayudar a mitigar los riesgos que presentan,
entre ellas:
◊ Definir las políticas de seguridad
◊ Asegurar físicamente los servidores y el equipo de la red
◊ Establecer permisos de inicio de sesión y acceso a archivos
◊ Actualizar el SO y las aplicaciones
◊ Cambiar las configuraciones permisivas por defecto
◊ Ejecutar software antivirus y antispyware
◊ Actualizar los archivos del software antivirus

167
 ◊ Activar las herramientas del explorador: bloqueadores de elementos emergentes,
herramientas contra la suplantación de identidad y monitores de plug-in
◊ Utilizar un firewall

El primer paso para asegurar una red es comprender la forma en que se mueve el tráfico
a través de la red, además de las diferentes amenazas y vulnerabilidades que existen.
Una vez que se implementan las medidas de seguridad, una red verdaderamente segura
debe supervisarse constantemente. Los procedimientos y las herramientas de seguridad
deben verificarse para poder mantenerse a la vanguardia de las amenazas que se
desarrollan.

168
Capítulo 9. Resolución de problemas
de la red
9.1 Proceso de resolución de problemas

9.1.1 Resolución de problemas

La resolución de problemas es el proceso de identificar, hallar y corregir problemas. Los

individuos con experiencia suelen seguir su instinto para resolver los problemas. No
obstante, existen técnicas estructuradas que se pueden usar para determinar la causa
más probable y la solución correspondiente.

Al resolver problemas debe completarse la documentación correspondiente. Esta

documentación debe incluir toda la información posible sobre lo siguiente:
◊ El problema encontrado
◊ Los pasos dados para determinar la causa del problema
◊ Los pasos para corregir el problema y asegurarse de que no vuelva a ocurrir

Documente todos los pasos para la resolución de problemas, incluso los que no sirvieron
para solucionar el inconveniente. Esta documentación será una referencia valiosa en caso
de que vuelva a tener el mismo problema o uno similar.

9.1.2 Recopilación de información

Cuando se informe un problema, verifíquelo y determine el alcance. Una vez confirmado

el problema, el primer paso para resolverlo es recopilar información.

Recopilación de información

Una de las primeras maneras de recopilar información es consultar a la persona que

informó el problema y a los otros usuarios afectados. En las preguntas se pueden incluir
los siguientes temas: experiencias del usuario final, síntomas observados, mensajes de
error e información sobre cambios recientes de configuración en dispositivos o
aplicaciones.

A continuación, recopile información sobre los equipos que pueden verse afectados. Esto
se puede obtener de la documentación. También se necesita una copia de todos los
archivos de registro y una lista de los cambios recientes en las configuraciones de los
equipos. Entre los datos del equipo también se incluyen el fabricante, la marca y el
modelo de los dispositivos afectados y la información de propiedad y garantía. También
es importante la versión del firmware o software del dispositivo, ya que puede haber
problemas de compatibilidad con determinadas plataformas de hardware.

También se puede recopilar información sobre la red mediante herramientas de

supervisión de redes. Las herramientas de supervisión de redes son aplicaciones

169
complejas que suelen usarse en redes de gran tamaño a fin de obtener de manera
continua información sobre el estado de la red y los dispositivos de red. Es posible que las
redes pequeñas no cuenten con estas herramientas.

Una vez recopilada toda la información necesaria inicie el proceso de resolución del
problema.

9.1.3 Enfoques para resolver problemas

Existen varias técnicas estructuradas de resolución de problemas, entre ellas:

◊ Descendente
◊ Ascendente
◊ Divide y vencerás

Todos estos enfoques estructurados adoptan un concepto de networking en capas. Un

ejemplo de enfoque en capas es el modelo OSI, donde cada función de comunicación se
divide en siete capas diferentes. Con este modelo, el encargado de resolver el problema
puede verificar todas las funciones en cada capa hasta que el problema se encuentre y se
solucione.

La técnica descendente comienza con la capa de aplicación y sigue hacia abajo. Analiza
el problema desde el punto de vista del usuario y de la aplicación. ¿Es sólo una aplicación
la que no funciona, o son todas? Por ejemplo: ¿el usuario puede acceder a diferentes
páginas Web de Internet, pero no al correo electrónico? ¿Existen otras estaciones de
trabajo con problemas similares?

La técnica ascendente comienza con la capa física y sigue hacia arriba. La capa física
tiene que ver con el hardware y las conexiones de cables. ¿Se extrajeron los cables de
sus sockets? Si el equipo tiene luces indicadoras, ¿están encendidas o apagadas?

La técnica Divide y vencerás suele comenzar en una de las capas del medio para luego
seguir hacia arriba o hacia abajo. Por ejemplo: el encargado de resolver el problema
puede comenzar en la capa de red verificando la información de la configuración IP.

170
La estructura de estos enfoques hace que sean ideales para aquellas personas que no
tengan experiencia en resolver problemas. Los individuos más experimentados suelen
obviar los enfoques estructurados y seguir su instinto y su experiencia. Es posible que
usen técnicas menos estructuradas, como ensayo y error o sustitución.

Ensayo y error

Esta técnica se basa en el conocimiento individual para determinar la causa más probable
del problema. El encargado de resolver problemas supone cuál puede ser la solución más
probable según su experiencia previa y sus conocimientos de la estructura de la red. Tras
implementar la solución, si no funciona, emplea esta información a fin de determinar la
segunda causa más probable. Este proceso se repite hasta aislar y solucionar el problema.

Si bien el enfoque de ensayo y error puede llegar a ser sumamente rápido, depende de
las habilidades y la experiencia del encargado de la resolución de problemas y puede
generar suposiciones incorrectas o hacer pasar por alto soluciones sencillas.

Sustitución

Con esta técnica, se supone que el problema es causado por un componente específico
de hardware o un archivo de configuración. La parte o el código defectuoso se reemplaza
con un dispositivo o un archivo que se sabe que funciona. Si bien esta técnica no
descubre necesariamente el problema, puede ahorrar tiempo y restaurar las funciones de
la red con rapidez. Este enfoque se basa en la disponibilidad de partes y componentes de
repuesto, y en archivos de configuración de copias de seguridad, cuyo mantenimiento
puede ser muy costoso.

171
Por ejemplo: una técnica de sustitución se lleva a cabo cuando un ISP reemplaza un
dispositivo posiblemente averiado en lugar de enviar a un técnico a encontrar el problema
específico. Esta técnica se utiliza generalmente con partes poco costosas, como cuando
se reemplazan tarjetas de interfaz de red y cables de parche.

9.2 Inconvenientes de la resolución de problemas

9.2.1 Detección de problemas físicos

Una gran proporción de los problemas de networking está relacionada con componentes
físicos o con problemas en la capa física.

Los problemas físicos principalmente tienen que ver con los aspectos de hardware de las
computadoras y los dispositivos de networking, y con los cables que los interconectan. No
tienen en cuenta la configuración lógica (de software) de los dispositivos.

Los problemas físicos pueden surgir en redes por cable o inalámbricas. Uno de los
mejores métodos para detectar problemas físicos es utilizar los sentidos: vista, olfato,
tacto y oído.

9.2.2 Utilidades de software para resolver problemas de conectividad

Existen varias utilidades de software disponibles que permiten ayudar a identificar

problemas de redes. La mayoría de estas utilidades se proporciona con el sistema
operativo como comandos de interfaz de línea de comandos (CLI). La sintaxis de los
comandos puede variar según el sistema operativo.

Éstas son algunas de las utilidades disponibles:

◊ ipconfig: muestra información de la configuración IP
◊ ping: prueba las conexiones con otros hosts IP
◊ tracert: muestra la ruta exacta recorrida hacia el destino
◊ netstat: muestra las conexiones de red
◊ nslookup: directamente solicita al servidor de nombre información sobre un
dominio de destino

9.2.3 Resolución de problemas con ipconfig

Ipconfig

Ipconfig se utiliza para ver información sobre la configuración IP actual de un host. Al

ejecutar este comando desde la petición de entrada de comandos se muestra la
información básica de configuración, que incluye lo siguiente: dirección IP, máscara de
subred y gateway por defecto.

172
Ipconfig /all

El comando ipconfig /all muestra información adicional, que incluye la dirección MAC y las
direcciones IP de la gateway por defecto, y los servidores DNS. También indica si DHCP
está activado, la dirección del servidor de DHCP y la información de arrendamiento.

¿Qué puede aportar esta utilidad en el proceso de resolución de problemas? Sin una
configuración IP adecuada el host no puede participar en comunicaciones por la red. Si el
host no conoce la ubicación de los servidores DNS no puede traducir los nombres y
convertirlos en direcciones IP.

Ipconfig /release e ipconfig /renew

Si la información de direccionamiento IP se asigna de manera dinámica, el comando

ipconfig /release eliminará los enlaces DHCP actuales. Ipconfig /renew solicita información
actualizada de configuración al servidor de DHCP. Un host puede contener información de
configuración IP defectuosa o desactualizada; para volver a adquirir conectividad sólo se
requiere una simple renovación de esta información.

Si después de enviar la configuración IP el host no puede obtener información actualizada

del servidor de DHCP, es posible que no haya conectividad de red. Verifique que la NIC
tenga iluminada una luz de enlace, lo que indica que existe una conexión física con la red.
Si esto no soluciona el problema, quizás exista un inconveniente en el servidor de DHCP
o en las conexiones de red con el servidor de DHCP.

9.2.4 Resolución de problemas con el comando ping

Ping

Si la configuración IP parece estar correctamente configurada en el host local, a

continuación vuelva a probar la conectividad de red mediante el comando ping. El
comando ping se utiliza para probar si se puede acceder a un host de destino. El
comando ping puede ir seguido de una dirección IP o del nombre de un host de destino,
por ejemplo:

173
ping 192.168.7.5

ping www.cisco.com

Al enviar un comando ping a una dirección IP, se envía un paquete conocido como
solicitud de eco en toda la red a la dirección IP especificada. Si recibe la solicitud de eco,
el host de destino responde con un paquete denominado respuesta de eco. Si el origen
recibe la respuesta de eco, se ha verificado la conectividad.

Si se envía un ping a un nombre, como www.cisco.com, primero se envía un paquete a un

servidor DNS para resolver el nombre en una dirección IP. Una vez obtenida la dirección
IP, se reenvía allí la solicitud de eco a la dirección IP y se continúa el proceso. Si el
comando ping enviado a la dirección IP funciona, pero el ping enviado al nombre no, es
muy probable que exista un problema con DNS.

Si tanto el ping enviado al nombre como el enviado a la dirección IP funcionan pero el

usuario sigue sin poder acceder a la aplicación, es muy probable que el problema resida
en la aplicación del host de destino. Por ejemplo: quizás no se esté ejecutando el servicio
solicitado.

Si no funciona ninguno de los dos comandos ping, es muy probable que el problema sea
la conectividad de red en la ruta hacia el destino. De suceder esto, lo habitual es enviar un
comando ping a la gateway por defecto. Si este comando ping funciona correctamente, el
problema no es local. Si el comando ping enviado a la gateway por defecto funciona,
entonces el problema reside en la red local.

El comando ping básico suele enviar cuatro ecos y esperar respuestas para los cuatro.
Sin embargo, se puede modificar para incrementar su utilidad. Las opciones presentadas
en el gráfico muestran las funciones adicionales disponibles.

174
9.2.5 Resolución de problemas con Tracert

Tracert

El comando ping puede verificar la conectividad de extremo a extremo. Sin embargo, si

existe un problema y el dispositivo no puede enviar un comando ping al destino, la utilidad
ping no indica exactamente dónde se cortó la conexión. Para lograrlo debe usarse otra
utilidad conocida como tracert.

La utilidad tracert proporciona información de conectividad de la ruta que un paquete

recorre a fin de llegar a destino e información de conectividad de cada router (salto) que
haya en el camino. También indica cuánto tarda el paquete en ir del origen a cada salto y
volver (tiempo de ida y vuelta). Tracert puede ayudar a identificar dónde se perdió o se
demoró un paquete debido a cuellos de botella o zonas más lentas de la red.

La utilidad tracert básica sólo permite hasta 30 saltos entre un dispositivo de origen y uno
de destino, antes de suponer que no se puede llegar al destino. Este número se puede
ajustar con el parámetro -h. También existen otros modificadores disponibles que se
muestran como opciones en el gráfico.

175
9.2.6 Resolución de problemas con Netstat

Netstat

En algunas ocasiones es necesario saber qué conexiones TCP activas están abiertas y
funcionando en un host conectado. Netstat es una utilidad de red importante que puede
usarse para verificar esas conexiones. Netstat indica el protocolo que se está usando, la
dirección y el número de puerto locales, la dirección y el número de puerto ajenos y el
estado de la conexión.

Las conexiones TCP indeterminadas pueden constituir un riesgo de seguridad importante.

Esto se debe a que pueden indicar que algo o alguien está conectado al host local.
Además, las conexiones TCP innecesarias pueden consumir valiosos recursos del
sistema y disminuir la velocidad de rendimiento del host. Netstat debe utilizarse para
examinar las conexiones abiertas de un host cuando el rendimiento parece estar
comprometido.

Existen muchas opciones útiles para el comando netstat.

176
9.2.7 Resolución de problemas con Nslookup

Nslookup

Al acceder a aplicaciones o servicios en la red, los individuos suelen usar el nombre DNS
en lugar de la dirección IP. Cuando se envía una solicitud a ese nombre, el host primero
debe contactar al servidor DNS para resolver el nombre en la IP correspondiente. A
continuación, el host utiliza la IP para agrupar la información en paquetes para el envío.

La utilidad nslookup permite que el usuario final busque información sobre un nombre
DNS en particular en el servidor DNS. Al enviar el comando nslookup, la información
recibida incluye la dirección IP del servidor DNS que se está utilizando y la dirección IP
asociada al nombre DNS especificado. Nslookup se suele usar como herramienta para la
resolución de problemas, a fin de determinar si el servidor DNS resuelve los nombres
como corresponde.

177
9.3 Problemas comunes
9.3.1 Inconvenientes de conectividad

Los problemas de conectividad pueden ocasionarse en redes inalámbricas, en redes por

cable y en las que usan ambas tecnologías. Al resolver problemas en una red con
conexiones inalámbricas y por cable, lo mejor es, por lo general, emplear la técnica "divide
y vencerás", de modo que se pueda identificar el problema en alguna de las dos
conexiones. La manera más sencilla de determinar si el problema está en la red por cable
o en la red inalámbrica es hacer lo siguiente:

1. Enviar un comando ping desde un cliente inalámbrico a la gateway por defecto: así se
verifica si el cliente inalámbrico se conecta como corresponde.

2. Enviar un comando ping desde un cliente por cable a la gateway por defecto: así se
verifica si este cliente se conecta como corresponde.

3. Enviar un comando ping desde el cliente inalámbrico a un cliente por cable: así se
verifica si el router integrado funciona como corresponde.

Una vez identificado el problema, podrá corregirlo.

178
9.3.2 Indicadores LED

Sin importar si el error se encuentra en la red inalámbrica o en la red por cable, uno de los
primeros pasos debe ser examinar los indicadores LED, que determinan el estado actual
o la actividad de un equipo o una conexión. Los indicadores LED pueden cambiar de color
o parpadear para transmitir información. La configuración y el significado exactos de los
indicadores LED varían según los fabricantes y los dispositivos.

Por lo general, los dispositivos tienen tres tipos de indicadores LED: alimentación, estado
y actividad. En algunos dispositivos, un mismo indicador LED transmite diferentes tipos de
información, según el estado actual del dispositivo. Es importante consultar la
documentación del equipo para conocer el significado exacto de todos los indicadores,
aunque existen algunas características habituales.

Los indicadores LED inactivos pueden dar señal de falla del dispositivo, falla del puerto o
problemas de cableado. Es posible que el dispositivo no funcione debido a una falla de
hardware. El puerto mismo podría funcionar defectuosamente debido a un problema de
hardware o de software mal configurado. Sin importar si la red es inalámbrica o por cable,
verifique que el dispositivo y los puertos funcionen bien antes de perder mucho tiempo
intentando solucionar otros inconvenientes.

179
9.3.3 Problemas de conectividad

Un host por cable no se puede conectar al router integrado

Si el cliente no se puede conectar por cable al router integrado, una de las primeras cosas
que se debe hacer es controlar la conectividad física y el cableado. El cableado es el
sistema nervioso central de las redes por cable y una de las causas más comunes cuando
se detecta inactividad.

Existen varios problemas de cableado que deben tenerse en cuenta:

1. Asegúrese de usar el tipo correcto de cable. En networking se usan, por lo general, dos
tipos de cables TP: directos y cruzados. El uso del tipo de cable incorrecto puede impedir
la conectividad.

2. La terminación inadecuada de cables es uno de los problemas principales de las redes.

Para evitarlo, los cables deben terminarse siguiendo los estándares.
Termine los cables según el estándar de terminación 568A o 568B.
Trate de no torcer demasiado el cable durante la terminación.
Engarce los conectores en el revestimiento del cable para evitar tironeos.

180
3. Existen longitudes máximas de tendido de cables según las características de cada
cable. Si se exceden se puede generar un impacto negativo en el rendimiento de la red.

4. Si existe un problema de conectividad, verifique que se estén usando los puertos

correctos entre los dispositivos de networking.

5. Proteja los cables y conectores contra daños físicos. Coloque soportes para los cables
a fin de evitar tironeos en los conectores y disponga los cables en zonas que no
interfieran el paso.

9.3.4 Resolución de problemas de radio en una WLAN

Un host inalámbrico no se puede conectar con el AP

Si el cliente inalámbrico no puede conectarse con el AP, es posible que se deba a

problemas de conectividad inalámbrica. Las comunicaciones inalámbricas dependen de
señales de radiofrecuencia (RF) para transportar datos. Existen muchos factores que
pueden afectar nuestra capacidad de conectar hosts mediante RF.

1. No todos los estándares inalámbricos son compatibles. El estándar 802.11a (banda de

5 GHz) no es compatible con los estándares 802.11b/g/n (banda de 2,4 GHz). Dentro de
la banda de 2,4 GHz, cada estándar usa tecnologías diferentes. A menos que se
configuren específicamente, los equipos que cumplen un estándar no pueden utilizarse
con los que cumplen otro.

2. Cada conversación inalámbrica debe realizarse en un canal independiente, sin

superposición. Algunos dispositivos AP pueden configurarse para que seleccionen el
canal menos congestionado o el de mayor rendimiento. Si bien las configuraciones
automáticas funcionan, la configuración manual del canal de AP proporciona un mayor
control y puede resultar necesaria para algunos entornos.

3. La intensidad de las señales de RF disminuye con la distancia. Si la intensidad de la

señal es muy baja, los dispositivos no podrán asociar ni mover datos de manera confiable.
Es posible que se descarte la señal. Se puede usar la utilidad de clientes NIC para
mostrar la intensidad de señal y la calidad de conexión.

4. Las señales de RF son vulnerables a la interferencia de fuentes externas, incluidos

otros dispositivos que funcionan en la misma frecuencia. Se recomienda llevar a cabo un
relevamiento del sitio para detectar esto.

5. Los AP comparten el ancho de banda disponible entre dispositivos. Cuantos más

dispositivos se asocian al AP, menor es el ancho de banda para cada dispositivo, lo que
genera problemas de rendimiento en la red. La solución radica en reducir la cantidad de
clientes inalámbricos que usan cada canal.

181
9.3.5 Resolución de problemas de asociación y autenticación en una WLAN

Problemas de configuración inalámbrica

Las WLAN modernas incorporan diferentes tecnologías que ayudan a proteger los datos:
si se configuran de manera incorrecta, puede interrumpirse la comunicación. Algunas de
las opciones más comunes que se configuran de forma incorrecta son: el SSID, la
autenticación y la encriptación.

1. El SSID es una cadena de hasta 32 caracteres alfanuméricos que distingue entre

mayúsculas y minúsculas. Debe coincidir tanto en el AP como en el cliente. Si el SSID se
transmite y se detecta, esto no genera ningún problema. Si no se transmite, debe
introducirse manualmente en el cliente. Si el cliente tiene configurado el SSID de manera
incorrecta, no se asociará con el AP. Además, si existe otro AP que está transmitiendo el
SSID, el cliente puede asociarse automáticamente a él.

2. En la mayoría de los AP, la autenticación abierta se configura por defecto, lo que

permite que todos los dispositivos se conecten. Si se configura una forma más segura de
autenticación, se precisa una clave. Tanto el cliente como el AP deben configurarse con la
misma clave. Si las claves no coinciden no se llevará a cabo la autenticación y no se
asociarán los dispositivos.

La encriptación es el proceso de alteración de los datos que le impide el uso a aquellas

personas que no poseen la clave de encriptación correcta. Si se habilita la encriptación
deberá configurarse la misma clave tanto en el AP como en el cliente. Si el cliente se
asocia con el AP pero no puede enviar ni recibir datos, quizás el problema sea la clave de
encriptación.

9.3.6 Inconvenientes con DHCP

Reconozca si la computadora está obteniendo la dirección IP correcta

Si la conexión física al host inalámbrico o por cable parece funcionar como corresponde,
controle la configuración IP del cliente.

La configuración IP puede generar un impacto importante sobre la capacidad del host de

conectarse a la red. Un router integrado, como el router inalámbrico Linksys, funciona

182
como servidor de DHCP para clientes locales inalámbricos y por cable, y brinda
configuración IP, incluidas la dirección IP, la máscara de subred, la gateway por defecto y,
quizás, hasta las direcciones IP de servidores DNS. El servidor de DHCP enlaza la
dirección IP con la dirección MAC de un cliente y almacena esa información en una tabla
de cliente. En el router inalámbrico doméstico Linksys esta tabla se puede analizar en la
página Estado | Red local de la GUI.

La información de la tabla de cliente debe coincidir con la información del host local, que
se puede obtener con el comando ipconfig /all. Además, la dirección IP del cliente debe
estar en la misma red que la interfaz LAN del dispositivo Linksys. La interfaz LAN del
dispositivo Linksys debe estar configurada como gateway por defecto. Si la información de
configuración del cliente no coincide con la de la tabla de cliente, la dirección debe
eliminarse (ipconfig /release) y renovarse (ipconfig /renew) para formar un nuevo enlace.

Si los clientes inalámbricos y por cable están obteniendo la configuración IP correcta y se

pueden conectar al dispositivo Linksys pero no logran enviarse comandos ping entre ellos,
lo más probable es que el problema esté en el dispositivo Linksys. Verifique todas las
configuraciones del dispositivo Linksys para asegurarse de que el problema no se debe a
restricciones de seguridad.

9.3.7 Resolución de problemas en la conexión entre el ISR y el ISP

Los hosts inalámbricos y por cable se pueden conectar entre sí, pero no a Internet

Si los hosts de la red local inalámbrica y por cable se pueden conectar al router integrado
y a otros hosts de la red local, pero no a Internet, quizás el problema esté en la conexión
entre el router integrado y el ISP.

Existen muchas maneras de verificar la conectividad entre el router integrado y el ISP.

Con la GUI, una manera de controlar la conectividad es examinar la página de estado del
router. Debe mostrar la dirección IP asignada al ISP e indicar si se estableció la conexión.

Si la página no muestra ninguna conexión, quizás el router integrado no esté conectado.

Verifique todas las conexiones físicas y todos los indicadores LED. Si el DSL o el módem
por cable es un dispositivo independiente, verifique también sus conexiones e indicadores.
Si el ISP requiere un nombre de inicio de sesión o una contraseña, verifique que estén
configurados para coincidir con los otorgados por el ISP. Con la GUI, las configuraciones

183
de contraseña normalmente se encuentran en la página de configuración de instalación. A
continuación intente restablecer la conectividad haciendo clic en el botón Conectar o
Renovación de dirección IP, en la página de estado. Si el router integrado continúa sin
conectarse, contáctese con el ISP para ver si éste es el que ocasiona el problema.

Si la página de estado muestra que la conexión es correcta, pero al enviar un comando

ping a un sitio de Internet no se recibe respuesta, es posible que el sitio específico no esté
disponible. Pruebe enviar un comando ping a otro sitio para ver si funciona. Si no funciona
verifique medidas de seguridad activadas que puedan causar el inconveniente, como el
filtrado de puertos.

9.4 Resolución de problemas y el soporte técnico

9.4.1 Documentación

La documentación de red es parte importante de todo proceso de resolución de

problemas. La documentación debe incluir una medición normal o de línea de base del
rendimiento de la red, a fin de poder analizar los problemas potenciales.

La línea de base del rendimiento puede incluir los tipos de tráfico que normalmente se
esperan y el volumen de tráfico dirigido desde los servidores y los dispositivos de red y
hacia ellos. La línea de base debe documentarse apenas se instala la red, cuando está
funcionando de manera óptima. El rendimiento de línea de base debe restablecerse tras
la implementación de cambios significativos en la red.

Además, alguna documentación (como los mapas de topología, los diagramas de redes y
los esquemas de direccionamiento) puede proporcionar información valiosa cuando el
encargado de resolver el problema intenta comprender el diseño físico de la red y el flujo
lógico de la información.

184
Debe conservarse la documentación durante el proceso de resolución de problemas. Esta
documentación puede resultar una referencia valiosa y se podrá usar cuando surjan
problemas en el futuro. Una buena documentación de resolución de problemas debe
incluir:

◊ Problema inicial
◊ Pasos que permiten identificar el problema
◊ Resultados de todos los pasos, correctos e incorrectos
◊ Causa final determinada del problema
◊ Solución definitiva del problema
◊ Medidas preventivas

9.4.2 Uso de fuentes externas como ayuda

Si durante el proceso de resolución la persona encargada no logra determinar el problema

y su solución, quizás sea necesario recibir asistencia de fuentes externas. Algunas de las
fuentes de ayuda más comunes son:
◊ Documentación guardada con anterioridad
◊ Preguntas frecuentes en línea
◊ Colegas y otros profesionales de redes
◊ Foros de Internet

9.4.3 Uso del soporte técnico

El soporte técnico es la primera parada para el usuario final que busca asistencia. Se trata
de un grupo de individuos con el conocimiento y las herramientas que se necesitan para
ayudar a diagnosticar y corregir problemas comunes. Proporciona asistencia a los
usuarios finales para determinar si existe un problema, su naturaleza y la solución
correspondiente.

Muchas compañías e ISP emplean soportes técnicos para asistir a sus usuarios con los
problemas de networking. La mayoría de las grandes compañías de TI cuentan con
soporte técnico para sus productos o tecnologías individuales. Por ejemplo: Cisco
Systems ofrece asistencia de soporte técnico para problemas de integración de equipos
Cisco en una red o para problemas que puedan surgir posteriormente a la instalación.

Existen muchas maneras de contactarse con el soporte técnico, como el correo

electrónico, el chat en vivo y el teléfono. Si bien el correo electrónico es bueno para los
problemas que no son urgentes, el teléfono y el chat en vivo son mejores para
emergencias de redes. Esto es importante, en especial para organizaciones como los
bancos, donde pequeñas interrupciones pueden costar grandes cantidades de dinero.

De ser necesario, el soporte técnico puede tomar control de un host local mediante
software de acceso remoto. Esto permite que los técnicos ejecuten programas de
diagnóstico e interactúen con el host y la red sin tener que viajar físicamente hasta el
lugar de trabajo. Esto reduce en gran medida el tiempo de espera para solucionar el
problema y permite que el soporte técnico asista a más usuarios.

185
Es importante que el usuario final proporcione toda la información posible al soporte
técnico. Precisarán información sobre todos los planes de soporte y servicio
implementados y los detalles específicos del equipo afectado. Esto puede incluir marca,
modelo, número de serie y la versión de firmware o sistema operativo que se utiliza en el
dispositivo. También pueden necesitar la dirección IP y la dirección MAC del dispositivo
que tiene el inconveniente. El soporte técnico precisará información específica del
problema, por ejemplo:
◊ Síntomas hallados
◊ Persona que se encontró con el problema
◊ Momento en que se manifiesta el problema
◊ Pasos que permiten identificar el problema
◊ Resultados de los pasos dados

Si no es la primera vez que llama, esté preparado para proporcionar la fecha y la hora de
la llamada anterior, el número de informe y el nombre del técnico. Colóquese delante del
equipo afectado y prepárese para proporcionar al personal de soporte técnico acceso al
equipo, si se le solicita.

El soporte técnico suele estar organizado en una serie de niveles de experiencia y

conocimiento. Si el personal del primer nivel no logra resolver el problema, es posible que
lo deriven al nivel superior. El personal de los niveles superiores, por lo general, cuenta
con más conocimientos y posee acceso a recursos y herramientas que el resto no tiene.

Registre toda la información de la interacción con el soporte técnico, por ejemplo:

◊ Fecha y hora de la llamada
◊ Nombre o ID del técnico
◊ Problema notificado
◊ Acción realizada
◊ Solución o derivación
◊ Siguientes pasos (continuación)

Al trabajar en equipo con el soporte técnico, la mayoría de los problemas se resuelven de

manera rápida y sencilla. Una vez solucionado el problema, no olvide actualizar toda la
documentación como corresponde a fin de que sirva como referencia para el futuro.

186